Ero sivun ”Linux-työaseman liittäminen Windows AD-toimialueeseen” versioiden välillä

Siirry navigaatioon Siirry hakuun

Linux-työaseman liittäminen Windows AD-toimialueeseen (muokkaa)

Versio 3. maaliskuuta 2011 kello 22.32

1 322 merkkiä lisätty ,  3. maaliskuuta 2011
ei muokkausyhteenvetoa
(luokitus)
Ei muokkausyhteenvetoa
Rivi 1: Rivi 1:
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten'''
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten'''


artikkeli on vähän vaiheessa, viimeistelen sen perjantaihin mennessä
Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.


Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Domain, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat ollet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.  


Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-ohjelmistoista tuttuja käytäntöjä. Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express.
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express.
 
Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
 
== Windows-toimialueelle liittyminen ==


Toimialueelle liittymistä varten tarvitaan:
Toimialueelle liittymistä varten tarvitaan:
* pääkäyttäjäoikeus omaan Linux-työasemaan
* pääkäyttäjäoikeus omaan Linux-työasemaan
* käyttäjätunnus ja salasana, joilla on oikeus liittyä toimialueeseen
* Windows-verkon käyttäjätunnus ja salasana
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local


Jos toimialueen verkkonimi ei ole aito, vaan olemassa ainoastaan paikallisesti, pidä huolta että Linux-työasema käyttää paikallista nimipalvelinta lisäämällä tiedostoon /etc/resolv.conf paikallisen DNS-palvelimen osoite, esimerkiksi:
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.
nameserver 192.168.0.1
 
 
Helpoin tapa liittää työasema Windows-toimialueeseen on käyttää Likewise Open -ohjelmistoa.


Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
  sudo apt-get install likewise-open
  sudo apt-get install likewise-open
Lisää tiedostoon /etc/samba/lwiauthd.conf rivi
winbind use default domain = yes
jotta käyttäjätunnuksissa ei tarvitse erikseen ilmoittaa toimialuetta, esim "domain\otto" vaan pelkkä tunnus "otto" riittää.


Sen jälkeen suorita liittäminen komennolla:
Sen jälkeen suorita liittäminen komennolla:
  sudo domainjoin-cli join yritys.fi Tunnus
  sudo domainjoin-cli join yritys.fi Tunnus


Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Tämänjälkeen voit kirjautua työasemaan millä tahansa käyttäjätunnuksella, joka on AD:ssa.
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.


Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.


TODO:
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.
* logonskriptin-vastine? Miten verkkolevyt ja -tulostimet liitetään automaattisesti kaikilla käyttäjillä?
** cifs korvannut sbmfs:n windows 2003 serveristä alkaen security signatures -toiminnon ollessa oletuksen apäällä
** verkkolevyn liittäminen /etc/fstab:lla on liian myöhään, pitää olla välittömästi sisäänkirjautumisen jälkeen
* tulostimet kiinteästi työasemaan cupsin samba-asetuksilla?
* kellojen synkronointi
* salasanan vaihtamismahdollisuus
* exchange
** thunderbird + lightning + plugin https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/
** evolution + plugin
** [http://davmail.sourceforge.net/ DavMail] ja mikä tahansa client


Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
=== Lisätietoja ===
* [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)]
* [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla] (versionumerosta huolimatta ohje osittain vanhentunut)
* [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa] (vaihtoehtoinen tekniikka)
 
=== Ongelmanselvitysharjoitus (poista tämä otsikko 5.3. aikana) ==
# Muuta LikeWisen asetuksia siten, että sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi.
 
== Exchangen käyttö Linuxissa ==
 
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.
 
Thunderbirdiin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös Evolution-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.


Lisätietoja:
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [http://davmail.sourceforge.net/ DavMail] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa.
* [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa]
* [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla]
* [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)]


[[Luokka:Verkko]]
[[Luokka:Verkko]]
[[Luokka:Ohjeet]]
[[Luokka:Ohjeet]]
Otto
195

muokkausta

Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/33569

Navigointivalikko