Linux-työaseman liittäminen Windows AD-toimialueeseen
Tämän artikkelin on laatinut Otto Kekäläinen (Linux-tuki.fi/Seravo Oy) koulutuskäyttöön
Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.
Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
Windows-toimialueelle liittyminen
Toimialueelle liittymistä varten tarvitaan:
- pääkäyttäjäoikeus omaan Linux-työasemaan
- Windows-verkon käyttäjätunnus ja salasana
- toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
sudo apt-get install likewise-open
Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).
Sen jälkeen suorita liittäminen komennolla:
sudo domainjoin-cli join yritys.fi Tunnus
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.
Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.
Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä
Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa /etc/lightdm/lightdm.conf (esim. sudo gedit /etc/lightdm/lightdm.conf) ja asettamalla rivin:
greeter-show-manual-login=true
Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla
sudo service lightdm restart
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:
sudo domainjoin-cli leave
Kirjautuminen pelkällä tunnuksella, ilman toimialuetta
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla:
sudo lwconfig AssumeDefaultDomain true
Virhetilanteita
Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon sudo dpkg-reconfigure krb5-config tai muokata suoraan tiedostoa sudo nano /etc/krb5.conf.
LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin lw- ja painaa pari kertaa sarkainta (tab).
Lisätietoja
- Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)
- LikewiseOpen Ubuntun wikissä
- Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka)
- Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta
Exchangen käyttö Linuxissa
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.
Thunderbirdiin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen Exchange-lisäosa. Myös Evolution-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä DavMail edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).