Ero sivun ”Linux AD liitos” versioiden välillä
(Tämä versio merkittiin käännettäväksi) |
|||
(12 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
+ | <languages/> | ||
+ | <translate> | ||
+ | <!--T:1--> | ||
Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä. | Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä. | ||
+ | <!--T:2--> | ||
:Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24 | :Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24 | ||
:Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1. | :Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1. | ||
Rivi 8: | Rivi 12: | ||
:Linux tietokone käyttää debianin versiota 7.1.0 | :Linux tietokone käyttää debianin versiota 7.1.0 | ||
+ | <!--T:3--> | ||
'''Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!''' | '''Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!''' | ||
− | == Palveluiden asennus == | + | == Palveluiden asennus == <!--T:4--> |
+ | <!--T:5--> | ||
Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto. | Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto. | ||
− | aptitude install samba winbind krb5-user ntp | + | <!--T:6--> |
+ | [[aptitude]] install samba winbind krb5-user ntp | ||
+ | <!--T:7--> | ||
NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan. | NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan. | ||
− | == Konfigurointi == | + | == Konfigurointi == <!--T:8--> |
− | === Verkko / DNS === | + | === Verkko / DNS === <!--T:9--> |
+ | <!--T:10--> | ||
Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten ''/etc/network/interfaces'' tiedosto pitää määritellä niin, että yhteys luonnistuu. | Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten ''/etc/network/interfaces'' tiedosto pitää määritellä niin, että yhteys luonnistuu. | ||
− | nano /etc/network/interfaces | + | <!--T:11--> |
+ | [[nano]] /etc/network/interfaces | ||
− | auto eth0 | + | <!--T:12--> |
+ | auto eth0 | ||
iface eth0 inet static | iface eth0 inet static | ||
address 192.168.0.3 | address 192.168.0.3 | ||
Rivi 32: | Rivi 43: | ||
gateway 192.168.0.1 | gateway 192.168.0.1 | ||
+ | <!--T:13--> | ||
Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös ''/etc/resolv.conf'' tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. ''/etc/resolv.conf'' tiedostoon määritellään myös mitä toimialuetta tietokone käyttää. | Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös ''/etc/resolv.conf'' tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. ''/etc/resolv.conf'' tiedostoon määritellään myös mitä toimialuetta tietokone käyttää. | ||
− | nano /etc/resolv.conf | + | <!--T:14--> |
+ | [[nano]] /etc/resolv.conf | ||
− | search firma.local | + | <!--T:15--> |
+ | search firma.local | ||
nameserver 192.168.0.2 | nameserver 192.168.0.2 | ||
+ | <!--T:16--> | ||
'''Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!''' | '''Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!''' | ||
− | nslookup win.firma.local | + | <!--T:17--> |
+ | nslookup win.firma.local | ||
− | nslookup 192.168.0.2 | + | <!--T:18--> |
+ | nslookup 192.168.0.2 | ||
+ | <!--T:19--> | ||
> Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2 | > Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2 | ||
+ | <!--T:20--> | ||
> Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local | > Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local | ||
+ | <!--T:21--> | ||
Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä. | Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä. | ||
− | === Samba === | + | === Samba === <!--T:22--> |
+ | <!--T:23--> | ||
Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos. | Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos. | ||
− | nano /etc/samba/smb.conf | + | <!--T:24--> |
+ | [[nano]] /etc/samba/smb.conf | ||
+ | <!--T:25--> | ||
Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä. | Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä. | ||
− | workgroup = FIRMA | + | <!--T:26--> |
+ | workgroup = FIRMA | ||
realm = FIRMA.LOCAL | realm = FIRMA.LOCAL | ||
security = ads | security = ads | ||
Rivi 76: | Rivi 100: | ||
+ | <!--T:27--> | ||
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen | Tämän jälkeen samba ja winbind pitää käynnistää uudelleen | ||
− | service samba restart | + | <!--T:28--> |
+ | service samba restart | ||
− | service winbind restart | + | <!--T:29--> |
+ | service winbind restart | ||
+ | <!--T:30--> | ||
Nyt liitoksen pitäisi onnistua komennolla | Nyt liitoksen pitäisi onnistua komennolla | ||
− | net ads join -U administrator | + | <!--T:31--> |
+ | net ads join -U administrator | ||
+ | <!--T:32--> | ||
Jos tulee virhe '''No DNS domain configured for debian. Unable to perform DNS Update''', niin muokkaa seuraava tiedosto: | Jos tulee virhe '''No DNS domain configured for debian. Unable to perform DNS Update''', niin muokkaa seuraava tiedosto: | ||
− | nano /etc/hosts | + | <!--T:33--> |
+ | [[nano]] /etc/hosts | ||
+ | <!--T:34--> | ||
Seuraavanlaiseksi: | Seuraavanlaiseksi: | ||
− | 127.0.0.1 hostname.domain.local hostname.domain.com hostname | + | <!--T:35--> |
+ | 127.0.0.1 hostname.domain.local hostname.domain.com hostname | ||
+ | <!--T:36--> | ||
Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. ''/etc/pam.d/'' hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin ''common-session'' tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa. | Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. ''/etc/pam.d/'' hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin ''common-session'' tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa. | ||
− | nano /etc/pam.d/common-session | + | <!--T:37--> |
+ | [[nano]] /etc/pam.d/common-session | ||
+ | <!--T:38--> | ||
Lisää tämä rivi konfiguraatiotiedoston alkuun: | Lisää tämä rivi konfiguraatiotiedoston alkuun: | ||
session required pam_mkhomedir.so umask=0077 skel=/etc/skel/ | session required pam_mkhomedir.so umask=0077 skel=/etc/skel/ | ||
− | === Kerberos === | + | === Kerberos === <!--T:39--> |
+ | <!--T:40--> | ||
Asennusohjelma kysyy seuraavia: | Asennusohjelma kysyy seuraavia: | ||
+ | <!--T:41--> | ||
Workgroup/domain -> firma.local | Workgroup/domain -> firma.local | ||
+ | <!--T:42--> | ||
Kerberos servers for your realm -> win.firma.local | Kerberos servers for your realm -> win.firma.local | ||
+ | <!--T:43--> | ||
Administrative server for your Kerberos realm -> win.firma.local | Administrative server for your Kerberos realm -> win.firma.local | ||
+ | <!--T:44--> | ||
Avaa seuraava tiedosto ja tarkista että on määritetty oikein | Avaa seuraava tiedosto ja tarkista että on määritetty oikein | ||
− | nano /etc/krb5.conf | + | [[nano]] /etc/krb5.conf |
− | [realms] | + | <!--T:45--> |
+ | [realms] | ||
SKILLS.LOCAL = { | SKILLS.LOCAL = { | ||
kdc = win.firma.local | kdc = win.firma.local | ||
Rivi 122: | Rivi 164: | ||
} | } | ||
− | [domain_realm] | + | <!--T:46--> |
+ | [domain_realm] | ||
.firma.local = FIRMA.LOCAL | .firma.local = FIRMA.LOCAL | ||
firma.local = FIRMA.LOCAL | firma.local = FIRMA.LOCAL | ||
− | === Nsswitch === | + | === Nsswitch === <!--T:47--> |
+ | <!--T:48--> | ||
Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa. | Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa. | ||
− | nano /etc/nsswitch.conf | + | <!--T:49--> |
+ | [[nano]] /etc/nsswitch.conf | ||
− | passwd: files winbind | + | <!--T:50--> |
+ | passwd: files winbind | ||
group: files winbind | group: files winbind | ||
shadow: compat | shadow: compat | ||
− | === NTP - Kello === | + | === NTP - Kello === <!--T:51--> |
+ | <!--T:52--> | ||
On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla. | On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla. | ||
− | nano /etc/ntp.conf | + | <!--T:53--> |
+ | [[nano]] /etc/ntp.conf | ||
+ | <!--T:54--> | ||
Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna. | Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna. | ||
− | server 192.168.0.2 | + | <!--T:55--> |
+ | server 192.168.0.2 | ||
+ | <!--T:56--> | ||
Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla | Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla | ||
− | date --set 1998-11-02 | + | <!--T:57--> |
+ | date --set 1998-11-02 | ||
− | date --set 21:08:00 | + | <!--T:58--> |
+ | date --set 21:08:00 | ||
+ | <!--T:59--> | ||
'''HUOM!!''' | '''HUOM!!''' | ||
Jos käytät graafista linuxia, niin ''avahi-daemon''ista voi koitua harmia. | Jos käytät graafista linuxia, niin ''avahi-daemon''ista voi koitua harmia. | ||
Poista se tarvittaessa komennolla | Poista se tarvittaessa komennolla | ||
− | aptitude purge remove avahi-daemon | + | <!--T:60--> |
+ | aptitude purge remove avahi-daemon | ||
− | == Testaus == | + | == Testaus == <!--T:61--> |
+ | <!--T:62--> | ||
Muista testata palvelun toimivuus seuraavilla komennoilla | Muista testata palvelun toimivuus seuraavilla komennoilla | ||
− | === Winbind testaus === | + | === Winbind testaus === <!--T:63--> |
+ | <!--T:64--> | ||
Käyttäjätilien testaus: | Käyttäjätilien testaus: | ||
− | wbinfo -u | + | <!--T:65--> |
+ | wbinfo -u | ||
+ | <!--T:66--> | ||
Käyttäjäryhmien testaus: | Käyttäjäryhmien testaus: | ||
− | wbinfo -g | + | <!--T:67--> |
+ | wbinfo -g | ||
− | + | <!--T:92--> | |
+ | Tarkista onko toimialueen ohjauskone saatavilla | ||
− | + | <!--T:93--> | |
+ | <pre> | ||
+ | root@debian:# wbinfo --ping-dc | ||
+ | checking the NETLOGON dc connection succeeded | ||
+ | </pre> | ||
+ | <!--T:94--> | ||
+ | Testaa kirjautuminen winbind: | ||
− | + | <!--T:95--> | |
+ | <pre> | ||
+ | root@debian:#wbinfo --pam-logon=DOMAIN\\user | ||
+ | Enter DOMAIN\user's password: | ||
+ | plaintext password authentication succeeded | ||
+ | </pre> | ||
− | == | + | <!--T:96--> |
+ | * NT_STATUS_WRONG_PASSWORD = Virheellinen salasana | ||
+ | * NT_STATUS_NO_SUCH_USER = Tuntematon käyttäjä | ||
− | + | === Testaan Nsswitch === <!--T:68--> | |
− | + | <!--T:69--> | |
+ | getent passwd | ||
+ | |||
+ | <!--T:70--> | ||
+ | getent group | ||
+ | |||
+ | === kerberoksen testaus === <!--T:71--> | ||
+ | |||
+ | <!--T:72--> | ||
+ | kinit [email protected] | ||
+ | |||
+ | == Samban jaon oikeudet AD:ssa == <!--T:73--> | ||
+ | |||
+ | <!--T:74--> | ||
Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä. | Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä. | ||
− | [SHARE] | + | <!--T:75--> |
+ | [SHARE] | ||
path = /home/share | path = /home/share | ||
valid users = @domain.local+"powerusers", domain.local+bill | valid users = @domain.local+"powerusers", domain.local+bill | ||
write list = @domain.local+"admins" | write list = @domain.local+"admins" | ||
− | == Kirjautumisrajoitukset == | + | == Kirjautumisrajoitukset == <!--T:76--> |
PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset: | PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset: | ||
− | /etc/pam.d/common-auth | + | <!--T:77--> |
+ | /etc/pam.d/common-auth | ||
− | auth sufficient pam_unix.so nullok_secure | + | <!--T:78--> |
+ | auth sufficient pam_unix.so nullok_secure | ||
auth required pam_succeedif.so user ingroup admins | auth required pam_succeedif.so user ingroup admins | ||
− | == Hallinta == | + | == Hallinta == <!--T:79--> |
+ | <!--T:80--> | ||
Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita. | Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita. | ||
+ | <!--T:81--> | ||
Useita AD hallintaan liittyvät löytyy tälläisen komennon alta: | Useita AD hallintaan liittyvät löytyy tälläisen komennon alta: | ||
− | net ads | + | <!--T:82--> |
+ | net ads | ||
+ | <!--T:83--> | ||
Tämän komennon alta näet AD:n tilan | Tämän komennon alta näet AD:n tilan | ||
− | net ads status | + | <!--T:84--> |
+ | net ads status | ||
− | == Linuxin poistaminen AD:sta == | + | == Linuxin poistaminen AD:sta == <!--T:85--> |
− | net ads leave -U Administrator | + | <!--T:86--> |
+ | net ads leave -U Administrator | ||
+ | <!--T:87--> | ||
Tämän jälkeen muutat konfiguroinnit alkuperäiseen. | Tämän jälkeen muutat konfiguroinnit alkuperäiseen. | ||
− | == | + | == Ongelmanratkaisu == <!--T:97--> |
+ | |||
+ | <!--T:98--> | ||
+ | Error looking up domain users | ||
− | + | <!--T:99--> | |
+ | -> Käynnistä winbind uudelleen | ||
− | == | + | == Aiheeseen liittyvää == <!--T:88--> |
+ | <!--T:89--> | ||
+ | [http://helenius.dy.fi/taisto/index.php/Apache2#Apache2_.2B_PAM_autentikointi Apache + PAM Autentikointi] | ||
+ | |||
+ | == Muita hyödyllisiä linkkejä == <!--T:90--> | ||
+ | |||
+ | <!--T:91--> | ||
http://www.heikkiniemi.fi/files/Linux-AD-integrointi.pdf | http://www.heikkiniemi.fi/files/Linux-AD-integrointi.pdf | ||
+ | |||
+ | </translate> | ||
+ | |||
+ | [[Category:Linux]] | ||
+ | [[Category:Active Directory]] |
Nykyinen versio 28. lokakuuta 2016 kello 19.28
Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä.
- Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24
- Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1.
- Windows-palvelimen ip-osoite on 192.168.0.2 ja nimi WIN.
- Linux-tietokone käyttää ip-osoitetta 192.168.0.3 ja nimeä LNX.
- Toimialueen nimi on firma.local.
- Linux tietokone käyttää debianin versiota 7.1.0
Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!
Sisällysluettelo
Palveluiden asennus
Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.
aptitude install samba winbind krb5-user ntp
NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan.
Konfigurointi
Verkko / DNS
Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten /etc/network/interfaces tiedosto pitää määritellä niin, että yhteys luonnistuu.
nano /etc/network/interfaces
auto eth0 iface eth0 inet static address 192.168.0.3 netmask 255.255.255.0 gateway 192.168.0.1
Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös /etc/resolv.conf tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. /etc/resolv.conf tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.
nano /etc/resolv.conf
search firma.local nameserver 192.168.0.2
Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!
nslookup win.firma.local
nslookup 192.168.0.2
> Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2
> Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local
Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä.
Samba
Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.
nano /etc/samba/smb.conf
Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.
workgroup = FIRMA realm = FIRMA.LOCAL security = ads idmap gid = 10000-20000 idmap uid = 10000-20000 template shell = /bin/bash domain master = no winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind nested groups = yes encrypt passwords = yes log level = 5 log file = /var/log/samba/%m max log size = 1000
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen
service samba restart
service winbind restart
Nyt liitoksen pitäisi onnistua komennolla
net ads join -U administrator
Jos tulee virhe No DNS domain configured for debian. Unable to perform DNS Update, niin muokkaa seuraava tiedosto:
nano /etc/hosts
Seuraavanlaiseksi:
127.0.0.1 hostname.domain.local hostname.domain.com hostname
Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. /etc/pam.d/ hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin common-session tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.
nano /etc/pam.d/common-session
Lisää tämä rivi konfiguraatiotiedoston alkuun:
session required pam_mkhomedir.so umask=0077 skel=/etc/skel/
Kerberos
Asennusohjelma kysyy seuraavia:
Workgroup/domain -> firma.local
Kerberos servers for your realm -> win.firma.local
Administrative server for your Kerberos realm -> win.firma.local
Avaa seuraava tiedosto ja tarkista että on määritetty oikein
nano /etc/krb5.conf
[realms] SKILLS.LOCAL = { kdc = win.firma.local admin_server = win.firma.local default_domain = firma.local }
[domain_realm] .firma.local = FIRMA.LOCAL firma.local = FIRMA.LOCAL
Nsswitch
Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa.
nano /etc/nsswitch.conf
passwd: files winbind group: files winbind shadow: compat
NTP - Kello
On hyödyllistä käydä muuttamassa /etc/ntp/ntp.conf tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.
nano /etc/ntp.conf
Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.
server 192.168.0.2
Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla
date --set 1998-11-02
date --set 21:08:00
HUOM!! Jos käytät graafista linuxia, niin avahi-daemonista voi koitua harmia. Poista se tarvittaessa komennolla
aptitude purge remove avahi-daemon
Testaus
Muista testata palvelun toimivuus seuraavilla komennoilla
Winbind testaus
Käyttäjätilien testaus:
wbinfo -u
Käyttäjäryhmien testaus:
wbinfo -g
Tarkista onko toimialueen ohjauskone saatavilla
root@debian:# wbinfo --ping-dc checking the NETLOGON dc connection succeeded
Testaa kirjautuminen winbind:
root@debian:#wbinfo --pam-logon=DOMAIN\\user Enter DOMAIN\user's password: plaintext password authentication succeeded
- NT_STATUS_WRONG_PASSWORD = Virheellinen salasana
- NT_STATUS_NO_SUCH_USER = Tuntematon käyttäjä
Testaan Nsswitch
getent passwd
getent group
kerberoksen testaus
kinit [email protected]
Samban jaon oikeudet AD:ssa
Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä.
[SHARE] path = /home/share valid users = @domain.local+"powerusers", domain.local+bill write list = @domain.local+"admins"
Kirjautumisrajoitukset
PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset:
/etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure auth required pam_succeedif.so user ingroup admins
Hallinta
Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita.
Useita AD hallintaan liittyvät löytyy tälläisen komennon alta:
net ads
Tämän komennon alta näet AD:n tilan
net ads status
Linuxin poistaminen AD:sta
net ads leave -U Administrator
Tämän jälkeen muutat konfiguroinnit alkuperäiseen.
Ongelmanratkaisu
Error looking up domain users
-> Käynnistä winbind uudelleen