Ero sivun ”Linux-työaseman liittäminen Windows AD-toimialueeseen” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(Ak: Uusi sivu: '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten''' artikkeli on vähän vaiheessa, viimeistelen s...)
 
 
(17 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten'''
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://seravo.fi/ Linux-tuki.fi/Seravo Oy]) koulutuskäyttöön'''


artikkeli on vähän vaiheessa, viimeistelen sen perjantaihin mennessä
Windowsia käyttävissä yrityksissä on tyypillisesti '''Windows-toimialue''' (Active Directory, AD), johon '''jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana'''. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.


Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Domain, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa '''tällaisessa ympäristössä voi käyttää myös Linux-työasemia'''. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.  


Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille.
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.
 
Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
 
== Windows-toimialueelle liittyminen ==


Toimialueelle liittymistä varten tarvitaan:
Toimialueelle liittymistä varten tarvitaan:
* pääkäyttäjäoikeus omaan Linux-työasemaan
* pääkäyttäjäoikeus omaan Linux-työasemaan
* käyttäjätunnus ja salasana, joilla on oikeus liittyä toimialueeseen
* Windows-verkon käyttäjätunnus ja salasana
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)
 
Jos toimialueen verkkonimi ei ole aito, vaan olemassa ainoastaan paikallisesti, pidä huolta että Linux-työasema käyttää paikallista nimipalvelinta lisäämällä tiedostoon /etc/resolv.conf paikallisen DNS-palvelimen osoite, esimerkiksi:
nameserver 192.168.0.1


 
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.
Helpoin tapa liittää työasema Windows-toimialueeseen on käyttää Likewise Open -ohjelmistoa.


Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
  sudo apt-get install likewise-open
  sudo apt-get install likewise-open


Lisää tiedostoon /etc/samba/lwiauthd.conf rivi
Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).
winbind use default domain = yes
jotta käyttäjätunnuksissa ei tarvitse erikseen ilmoittaa toimialuetta, esim "domain\otto" vaan pelkkä tunnus "otto" riittää.


Sen jälkeen suorita liittäminen komennolla:
Sen jälkeen suorita liittäminen komennolla:
  sudo domainjoin-cli join yritys.fi Tunnus
  sudo domainjoin-cli join yritys.fi Tunnus


Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Tämän jälkeen voit kirjautua työasemaan millä tahansa käyttäjätunnuksella, joka on AD:ssa.
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.
 
Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.
 
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.
 
 
=== Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä ===
Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa ''/etc/lightdm/lightdm.conf'' (esim. ''sudo gedit /etc/lightdm/lightdm.conf'') ja asettamalla rivin:
greeter-show-manual-login=true
 
Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla
sudo service lightdm restart
 
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:
sudo domainjoin-cli leave
 
=== Kirjautuminen pelkällä tunnuksella, ilman toimialuetta ===
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla:
 
sudo lwconfig AssumeDefaultDomain true
 
=== Ylläpito-oikeudet Linux-työasemaan ===
 
AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins).
 
%domain^admins ALL=(ALL:ALL) ALL
 
=== Tiedostojaot ja muu yhteistoiminta Samban kanssa ===
Lisätietoja löytyy [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbise/Manuals/likewise-samba-guide.html Likewisen Samba-dokumentaatiosta], mutta nopeat loitsut alla:
 
sudo apt-get install samba
sudo samba-interop-install --install
 
Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/992970 bugiraportti #992970]. Ratkaisu on asentaa LikewiseOpen 7.0.
 
=== Virhetilanteita ===
 
Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon ''sudo dpkg-reconfigure krb5-config'' tai muokata suoraan tiedostoa ''sudo nano /etc/krb5.conf''.
 
LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin ''lw-'' ja painaa pari kertaa sarkainta (tab).
 
=== Lisätietoja ===
 
* [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbiso/Manuals/likewise-open-guide.html Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)]
* [https://help.ubuntu.com/community/LikewiseOpen LikewiseOpen Ubuntun wikissä]
* [https://help.ubuntu.com/12.04/serverguide/windows-networking.html Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking] (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka)
* [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta]
 
== Exchangen käyttö Linuxissa ==
 
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.
 
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.
 
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).


Lisätietoja:
[[Luokka:Verkko]]
* [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa]
[[Luokka:Ohjeet]]
* [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla]
[[Luokka:Opetusmateriaalit]]

Nykyinen versio 7. maaliskuuta 2013 kello 13.39

Tämän artikkelin on laatinut Otto Kekäläinen (Linux-tuki.fi/Seravo Oy) koulutuskäyttöön

Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.

Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.

Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.

Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.

Windows-toimialueelle liittyminen[muokkaa]

Toimialueelle liittymistä varten tarvitaan:

  • pääkäyttäjäoikeus omaan Linux-työasemaan
  • Windows-verkon käyttäjätunnus ja salasana
  • toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)

Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.

Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:

sudo apt-get install likewise-open

Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).

Sen jälkeen suorita liittäminen komennolla:

sudo domainjoin-cli join yritys.fi Tunnus

Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.

Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.

Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.


Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä[muokkaa]

Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa /etc/lightdm/lightdm.conf (esim. sudo gedit /etc/lightdm/lightdm.conf) ja asettamalla rivin:

greeter-show-manual-login=true

Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla

sudo service lightdm restart

Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:

sudo domainjoin-cli leave

Kirjautuminen pelkällä tunnuksella, ilman toimialuetta[muokkaa]

Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla:

sudo lwconfig AssumeDefaultDomain true

Ylläpito-oikeudet Linux-työasemaan[muokkaa]

AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins).

%domain^admins ALL=(ALL:ALL) ALL

Tiedostojaot ja muu yhteistoiminta Samban kanssa[muokkaa]

Lisätietoja löytyy Likewisen Samba-dokumentaatiosta, mutta nopeat loitsut alla:
sudo apt-get install samba
sudo samba-interop-install --install

Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. bugiraportti #992970. Ratkaisu on asentaa LikewiseOpen 7.0.

Virhetilanteita[muokkaa]

Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon sudo dpkg-reconfigure krb5-config tai muokata suoraan tiedostoa sudo nano /etc/krb5.conf.

LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin lw- ja painaa pari kertaa sarkainta (tab).

Lisätietoja[muokkaa]

Exchangen käyttö Linuxissa[muokkaa]

Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.

Thunderbirdiin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen Exchange-lisäosa. Myös Evolution-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.

IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä DavMail edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).