Linux-työaseman liittäminen Windows AD-toimialueeseen

Linux.fista
Versio hetkellä 1. maaliskuuta 2011 kello 16.33 – tehnyt Otto (keskustelu | muokkaukset)
Siirry navigaatioon Siirry hakuun

Tämän artikkelin on laatinut Otto Kekäläinen (Suomen Linux-tuki) KEUDAn opettajakoulutusta varten

artikkeli on vähän vaiheessa, viimeistelen sen perjantaihin mennessä

Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Domain, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.

Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-ohjelmistoista tuttuja käytäntöjä. Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express.

Toimialueelle liittymistä varten tarvitaan:

  • pääkäyttäjäoikeus omaan Linux-työasemaan
  • käyttäjätunnus ja salasana, joilla on oikeus liittyä toimialueeseen
  • toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local

Jos toimialueen verkkonimi ei ole aito, vaan olemassa ainoastaan paikallisesti, pidä huolta että Linux-työasema käyttää paikallista nimipalvelinta lisäämällä tiedostoon /etc/resolv.conf paikallisen DNS-palvelimen osoite, esimerkiksi:

nameserver 192.168.0.1


Helpoin tapa liittää työasema Windows-toimialueeseen on käyttää Likewise Open -ohjelmistoa.

Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:

sudo apt-get install likewise-open

Lisää tiedostoon /etc/samba/lwiauthd.conf rivi

winbind use default domain = yes

jotta käyttäjätunnuksissa ei tarvitse erikseen ilmoittaa toimialuetta, esim "domain\otto" vaan pelkkä tunnus "otto" riittää.

Sen jälkeen suorita liittäminen komennolla:

sudo domainjoin-cli join yritys.fi Tunnus

Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Tämänjälkeen voit kirjautua työasemaan millä tahansa käyttäjätunnuksella, joka on AD:ssa.


TODO:

  • logonskriptin-vastine? Miten verkkolevyt ja -tulostimet liitetään automaattisesti kaikilla käyttäjillä?
    • cifs korvannut sbmfs:n windows 2003 serveristä alkaen security signatures -toiminnon ollessa oletuksen apäällä
    • verkkolevyn liittäminen /etc/fstab:lla on liian myöhään, pitää olla välittömästi sisäänkirjautumisen jälkeen
  • tulostimet kiinteästi työasemaan cupsin samba-asetuksilla?
  • kellojen synkronointi
  • salasanan vaihtamismahdollisuus

Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.

Lisätietoja: