Ero sivun ”Linux AD liitos” versioiden välillä
Rivi 56: | Rivi 56: | ||
net ads join -U administrator | net ads join -U administrator | ||
+ | |||
+ | Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. ''/etc/pam.d/'' hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin ''common-session'' tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa. | ||
On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla. | On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla. |
Versio 17. huhtikuuta 2014 kello 09.04
Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi windowsin active directorya.
Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24 Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1 Windows-palvelimen ip-osoite on 192.168.0.2 ja nimi WIN Linux-tietokone käyttää ip-osoitetta 192.168.0.3 ja nimeä LNX Toimialueen nimi on firma.local
Palveluiden asennus
Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.
aptitude install samba winbind krb5-user ntp
Konfigurointi
Ensimmäiseksi määritellään linuxin verkkoasetukset oikeiksi, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten /etc/network/interfaces tiedosto pitää määritellä niin, että yhteys luonnistuu.
nano /etc/network/interfaces
auto eth0 iface eth0 inet static address 192.168.0.3 netmask 255.255.255.0 gateway 192.168.0.1
Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös /etc/resolv.conf tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. /etc/resolv.conf tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.
nano /etc/resolv.conf
search firma.local nameserver 192.168.0.2
Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.
nano /etc/samba/smb.conf
Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.
workgroup = FIRMA realm = FIRMA.LOCAL security = ads idmap gid = 10000-20000 idmap uid = 10000-20000 template shell = /bin/bash domain master = no winbind use default domain = yes winbind nested groups = yes
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen
service samba winbind restart
Nyt liitoksen pitäisi onnistua komennolla
net ads join -U administrator
Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. /etc/pam.d/ hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin common-session tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.
On hyödyllistä käydä muuttamassa /etc/ntp/ntp.conf tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.
nano /etc/ntp/ntp.conf
Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.
server 192.168.0.2
HUOM!! Jos käytät esimerkiksi graafista debiania, niin avahi.daemonista voi koitua harmia. Poista se siis komennolla
aptitude purge remove avahi.daemon