Ero sivun ”Linux-työaseman liittäminen Windows AD-toimialueeseen” versioiden välillä
Siirry navigaatioon
Siirry hakuun
Linux-työaseman liittäminen Windows AD-toimialueeseen (muokkaa)
Versio 7. maaliskuuta 2013 kello 13.39
, 7. maaliskuuta 2013→Ylläpito-oikeudet Linux-työasemaan
(Ak: Uusi sivu: '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten''' artikkeli on vähän vaiheessa, viimeistelen s...) |
|||
(17 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http:// | '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://seravo.fi/ Linux-tuki.fi/Seravo Oy]) koulutuskäyttöön''' | ||
Windowsia käyttävissä yrityksissä on tyypillisesti '''Windows-toimialue''' (Active Directory, AD), johon '''jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana'''. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan. | |||
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa '''tällaisessa ympäristössä voi käyttää myös Linux-työasemia'''. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa. | |||
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express. | |||
Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät. | |||
== Windows-toimialueelle liittyminen == | |||
Toimialueelle liittymistä varten tarvitaan: | Toimialueelle liittymistä varten tarvitaan: | ||
* pääkäyttäjäoikeus omaan Linux-työasemaan | * pääkäyttäjäoikeus omaan Linux-työasemaan | ||
* käyttäjätunnus ja salasana | * Windows-verkon käyttäjätunnus ja salasana | ||
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local | * toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa) | ||
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa. | |||
Helpoin tapa liittää työasema Windows-toimialueeseen | |||
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: | Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: | ||
sudo apt-get install likewise-open | sudo apt-get install likewise-open | ||
Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät). | |||
Sen jälkeen suorita liittäminen komennolla: | Sen jälkeen suorita liittäminen komennolla: | ||
sudo domainjoin-cli join yritys.fi Tunnus | sudo domainjoin-cli join yritys.fi Tunnus | ||
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. | Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus. | ||
Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään. | |||
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin. | |||
=== Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä === | |||
Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa ''/etc/lightdm/lightdm.conf'' (esim. ''sudo gedit /etc/lightdm/lightdm.conf'') ja asettamalla rivin: | |||
greeter-show-manual-login=true | |||
Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla | |||
sudo service lightdm restart | |||
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento: | |||
sudo domainjoin-cli leave | |||
=== Kirjautuminen pelkällä tunnuksella, ilman toimialuetta === | |||
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla: | |||
sudo lwconfig AssumeDefaultDomain true | |||
=== Ylläpito-oikeudet Linux-työasemaan === | |||
AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins). | |||
%domain^admins ALL=(ALL:ALL) ALL | |||
=== Tiedostojaot ja muu yhteistoiminta Samban kanssa === | |||
Lisätietoja löytyy [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbise/Manuals/likewise-samba-guide.html Likewisen Samba-dokumentaatiosta], mutta nopeat loitsut alla: | |||
sudo apt-get install samba | |||
sudo samba-interop-install --install | |||
Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/992970 bugiraportti #992970]. Ratkaisu on asentaa LikewiseOpen 7.0. | |||
=== Virhetilanteita === | |||
Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon ''sudo dpkg-reconfigure krb5-config'' tai muokata suoraan tiedostoa ''sudo nano /etc/krb5.conf''. | |||
LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin ''lw-'' ja painaa pari kertaa sarkainta (tab). | |||
=== Lisätietoja === | |||
* [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbiso/Manuals/likewise-open-guide.html Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)] | |||
* [https://help.ubuntu.com/community/LikewiseOpen LikewiseOpen Ubuntun wikissä] | |||
* [https://help.ubuntu.com/12.04/serverguide/windows-networking.html Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking] (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka) | |||
* [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta] | |||
== Exchangen käyttö Linuxissa == | |||
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua. | |||
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta. | |||
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon). | |||
[[Luokka:Verkko]] | |||
[[Luokka:Ohjeet]] | |||
[[Luokka:Opetusmateriaalit]] |