Linux-työaseman liittäminen Windows AD-toimialueeseen
Tämän artikkelin on laatinut Otto Kekäläinen (Suomen Linux-tuki) KEUDAn opettajakoulutusta varten
artikkeli on vähän vaiheessa, viimeistelen sen perjantaihin mennessä
Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Domain, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-ohjelmistoista tuttuja käytäntöjä. Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express.
Toimialueelle liittymistä varten tarvitaan:
- pääkäyttäjäoikeus omaan Linux-työasemaan
- käyttäjätunnus ja salasana, joilla on oikeus liittyä toimialueeseen
- toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local
Jos toimialueen verkkonimi ei ole aito, vaan olemassa ainoastaan paikallisesti, pidä huolta että Linux-työasema käyttää paikallista nimipalvelinta lisäämällä tiedostoon /etc/resolv.conf paikallisen DNS-palvelimen osoite, esimerkiksi:
nameserver 192.168.0.1
Helpoin tapa liittää työasema Windows-toimialueeseen on käyttää Likewise Open -ohjelmistoa.
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
sudo apt-get install likewise-open
Lisää tiedostoon /etc/samba/lwiauthd.conf rivi
winbind use default domain = yes
jotta käyttäjätunnuksissa ei tarvitse erikseen ilmoittaa toimialuetta, esim "domain\otto" vaan pelkkä tunnus "otto" riittää.
Sen jälkeen suorita liittäminen komennolla:
sudo domainjoin-cli join yritys.fi Tunnus
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Tämänjälkeen voit kirjautua työasemaan millä tahansa käyttäjätunnuksella, joka on AD:ssa.
TODO:
- logonskriptin-vastine? Miten verkkolevyt ja -tulostimet liitetään automaattisesti kaikilla käyttäjillä?
- cifs korvannut sbmfs:n windows 2003 serveristä alkaen security signatures -toiminnon ollessa oletuksen apäällä
- verkkolevyn liittäminen /etc/fstab:lla on liian myöhään, pitää olla välittömästi sisäänkirjautumisen jälkeen
- tulostimet kiinteästi työasemaan cupsin samba-asetuksilla?
Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
Lisätietoja:
- Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa
- Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla
- [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)