Mainos / Advertisement:

Ero sivun ”Linux AD liitos” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
(Tämä versio merkittiin käännettäväksi)
 
(15 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
 +
<languages/>
 +
<translate>
 +
<!--T:1-->
 
Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä.
 
Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä.
  
 +
<!--T:2-->
 
:Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24
 
:Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24
 
:Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1.
 
:Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1.
Rivi 8: Rivi 12:
 
:Linux tietokone käyttää debianin versiota 7.1.0
 
:Linux tietokone käyttää debianin versiota 7.1.0
  
 +
<!--T:3-->
 
'''Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!'''  
 
'''Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!'''  
  
== Palveluiden asennus ==
+
== Palveluiden asennus == <!--T:4-->
  
 +
<!--T:5-->
 
Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.
 
Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.
  
  aptitude install samba winbind krb5-user ntp
+
  <!--T:6-->
 +
[[aptitude]] install samba winbind krb5-user ntp
  
 +
<!--T:7-->
 
NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan.
 
NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan.
  
== Konfigurointi ==
+
== Konfigurointi == <!--T:8-->
  
=== Verkko / DNS ===
+
=== Verkko / DNS === <!--T:9-->
  
 +
<!--T:10-->
 
Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten ''/etc/network/interfaces'' tiedosto pitää määritellä niin, että yhteys luonnistuu.  
 
Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten ''/etc/network/interfaces'' tiedosto pitää määritellä niin, että yhteys luonnistuu.  
  
  nano /etc/network/interfaces
+
  <!--T:11-->
 +
[[nano]] /etc/network/interfaces
  
  auto eth0
+
  <!--T:12-->
 +
auto eth0
 
  iface eth0 inet static
 
  iface eth0 inet static
 
         address 192.168.0.3
 
         address 192.168.0.3
Rivi 32: Rivi 43:
 
         gateway 192.168.0.1
 
         gateway 192.168.0.1
  
 +
<!--T:13-->
 
Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös ''/etc/resolv.conf'' tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. ''/etc/resolv.conf'' tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.
 
Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös ''/etc/resolv.conf'' tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. ''/etc/resolv.conf'' tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.
  
  nano /etc/resolv.conf
+
  <!--T:14-->
 +
[[nano]] /etc/resolv.conf
  
  search firma.local
+
  <!--T:15-->
 +
search firma.local
 
  nameserver 192.168.0.2
 
  nameserver 192.168.0.2
  
 +
<!--T:16-->
 
'''Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!'''
 
'''Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!'''
  
   nslookup win.firma.local
+
   <!--T:17-->
 +
nslookup win.firma.local
  
   nslookup 192.168.0.2
+
   <!--T:18-->
 +
nslookup 192.168.0.2
  
 +
<!--T:19-->
 
> Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2
 
> Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2
  
 +
<!--T:20-->
 
> Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local
 
> Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local
  
 +
<!--T:21-->
 
Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä.
 
Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä.
  
=== Samba ===
+
=== Samba === <!--T:22-->
  
 +
<!--T:23-->
 
Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.
 
Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.
  
  nano /etc/samba/smb.conf
+
  <!--T:24-->
 +
[[nano]] /etc/samba/smb.conf
  
 +
<!--T:25-->
 
Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.
 
Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.
  
  workgroup = FIRMA
+
  <!--T:26-->
 +
workgroup = FIRMA
 
  realm = FIRMA.LOCAL
 
  realm = FIRMA.LOCAL
 
  security = ads
 
  security = ads
Rivi 76: Rivi 100:
  
  
 +
<!--T:27-->
 
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen
 
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen
  
  service samba  restart
+
  <!--T:28-->
 +
service samba  restart
  
  service winbind restart
+
  <!--T:29-->
 +
service winbind restart
  
 +
<!--T:30-->
 
Nyt liitoksen pitäisi onnistua komennolla
 
Nyt liitoksen pitäisi onnistua komennolla
  
  net ads join -U administrator
+
  <!--T:31-->
 +
net ads join -U administrator
  
 +
<!--T:32-->
 
Jos tulee virhe '''No DNS domain configured for debian. Unable to perform DNS Update''', niin muokkaa seuraava tiedosto:
 
Jos tulee virhe '''No DNS domain configured for debian. Unable to perform DNS Update''', niin muokkaa seuraava tiedosto:
  
   nano /etc/hosts
+
   <!--T:33-->
 +
[[nano]] /etc/hosts
  
 +
<!--T:34-->
 
Seuraavanlaiseksi:
 
Seuraavanlaiseksi:
  
   127.0.0.1 hostname.domain.local hostname.domain.com hostname
+
   <!--T:35-->
 +
127.0.0.1 hostname.domain.local hostname.domain.com hostname
  
 +
<!--T:36-->
 
Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. ''/etc/pam.d/'' hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin ''common-session'' tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.
 
Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. ''/etc/pam.d/'' hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin ''common-session'' tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.
  
  nano /etc/pam.d/common-session
+
  <!--T:37-->
 +
[[nano]] /etc/pam.d/common-session
  
 +
<!--T:38-->
 
Lisää tämä rivi konfiguraatiotiedoston alkuun:
 
Lisää tämä rivi konfiguraatiotiedoston alkuun:
  
 
  session required          pam_mkhomedir.so umask=0077 skel=/etc/skel/
 
  session required          pam_mkhomedir.so umask=0077 skel=/etc/skel/
=== Kerberos ===
+
=== Kerberos === <!--T:39-->
  
 +
<!--T:40-->
 
Asennusohjelma kysyy seuraavia:
 
Asennusohjelma kysyy seuraavia:
  
 +
<!--T:41-->
 
Workgroup/domain -> firma.local
 
Workgroup/domain -> firma.local
  
 +
<!--T:42-->
 
Kerberos servers for your realm -> win.firma.local  
 
Kerberos servers for your realm -> win.firma.local  
  
 +
<!--T:43-->
 
Administrative server for your Kerberos realm -> win.firma.local
 
Administrative server for your Kerberos realm -> win.firma.local
  
 +
<!--T:44-->
 
Avaa seuraava tiedosto ja tarkista että on määritetty oikein
 
Avaa seuraava tiedosto ja tarkista että on määritetty oikein
 
   
 
   
   nano /etc/krb5.conf
+
   [[nano]] /etc/krb5.conf
  
   [realms]
+
   <!--T:45-->
 +
[realms]
 
       SKILLS.LOCAL = {
 
       SKILLS.LOCAL = {
 
       kdc = win.firma.local
 
       kdc = win.firma.local
Rivi 122: Rivi 164:
 
       }
 
       }
  
       [domain_realm]
+
       <!--T:46-->
 +
[domain_realm]
 
       .firma.local = FIRMA.LOCAL
 
       .firma.local = FIRMA.LOCAL
 
       firma.local = FIRMA.LOCAL
 
       firma.local = FIRMA.LOCAL
  
=== Nsswitch ===
+
=== Nsswitch === <!--T:47-->
  
 +
<!--T:48-->
 
Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa.
 
Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa.
  
  nano /etc/nsswitch.conf
+
  <!--T:49-->
 +
[[nano]] /etc/nsswitch.conf
  
  passwd:        files winbind
+
  <!--T:50-->
 +
passwd:        files winbind
 
  group:        files winbind
 
  group:        files winbind
 
  shadow:        compat
 
  shadow:        compat
  
=== NTP - Kello ===  
+
=== NTP - Kello === <!--T:51-->
  
 +
<!--T:52-->
 
On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.
 
On hyödyllistä käydä muuttamassa ''/etc/ntp/ntp.conf'' tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.
  
  nano /etc/ntp.conf
+
  <!--T:53-->
 +
[[nano]] /etc/ntp.conf
  
 +
<!--T:54-->
 
Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.
 
Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.
  
  server 192.168.0.2
+
  <!--T:55-->
 +
server 192.168.0.2
  
 +
<!--T:56-->
 
Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla
 
Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla
  
   date --set 1998-11-02  
+
   <!--T:57-->
 +
date --set 1998-11-02  
  
   date --set 21:08:00
+
   <!--T:58-->
 +
date --set 21:08:00
  
 +
<!--T:59-->
 
'''HUOM!!'''
 
'''HUOM!!'''
 
Jos käytät graafista linuxia, niin ''avahi-daemon''ista voi koitua harmia.  
 
Jos käytät graafista linuxia, niin ''avahi-daemon''ista voi koitua harmia.  
 
Poista se tarvittaessa komennolla
 
Poista se tarvittaessa komennolla
  
  aptitude purge remove avahi-daemon
+
  <!--T:60-->
 +
aptitude purge remove avahi-daemon
  
== Testaus ==
+
== Testaus == <!--T:61-->
  
 +
<!--T:62-->
 
Muista testata palvelun toimivuus seuraavilla komennoilla
 
Muista testata palvelun toimivuus seuraavilla komennoilla
  
=== Winbind testaus ===
+
=== Winbind testaus === <!--T:63-->
  
 +
<!--T:64-->
 
Käyttäjätilien testaus:
 
Käyttäjätilien testaus:
  
   wbinfo -u
+
   <!--T:65-->
 +
wbinfo -u
  
 +
<!--T:66-->
 
Käyttäjäryhmien testaus:
 
Käyttäjäryhmien testaus:
  
   wbinfo -g
+
   <!--T:67-->
 +
wbinfo -g
  
=== Testaan Nsswitch ===
+
<!--T:92-->
 +
Tarkista onko toimialueen ohjauskone saatavilla
  
  getent passwd
+
<!--T:93-->
 +
<pre>
 +
root@debian:# wbinfo --ping-dc
 +
checking the NETLOGON dc connection succeeded
 +
</pre>
  
 +
<!--T:94-->
 +
Testaa kirjautuminen winbind:
  
  getent group
+
<!--T:95-->
 +
<pre>
 +
root@debian:#wbinfo --pam-logon=DOMAIN\\user
 +
Enter DOMAIN\user's password:
 +
plaintext password authentication succeeded
 +
</pre>
  
=== kerberoksen testaus ===
+
<!--T:96-->
 +
* NT_STATUS_WRONG_PASSWORD = Virheellinen salasana
 +
* NT_STATUS_NO_SUCH_USER = Tuntematon käyttäjä
  
+
=== Testaan Nsswitch === <!--T:68-->
  
== Samban jaon oikeudet AD:ssa ==
+
  <!--T:69-->
 +
getent passwd
  
 +
 +
  <!--T:70-->
 +
getent group
 +
 +
=== kerberoksen testaus === <!--T:71-->
 +
 +
  <!--T:72-->
 +
 +
 +
== Samban jaon oikeudet AD:ssa == <!--T:73-->
 +
 +
<!--T:74-->
 
Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä.  
 
Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä.  
  
   [SHARE]
+
   <!--T:75-->
 +
[SHARE]
 
       path = /home/share
 
       path = /home/share
 
       valid users = @domain.local+"powerusers", domain.local+bill
 
       valid users = @domain.local+"powerusers", domain.local+bill
 
       write list = @domain.local+"admins"
 
       write list = @domain.local+"admins"
  
== Kirjautumisrajoitukset ==  
+
== Kirjautumisrajoitukset == <!--T:76-->
 
PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset:  
 
PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset:  
  
   /etc/pam.d/common-auth  
+
   <!--T:77-->
 +
/etc/pam.d/common-auth  
  
   auth sufficient pam_unix.so nullok_secure  
+
   <!--T:78-->
 +
auth sufficient pam_unix.so nullok_secure  
 
   auth required pam_succeedif.so user ingroup admins
 
   auth required pam_succeedif.so user ingroup admins
  
== Hallinta ==
+
== Hallinta == <!--T:79-->
  
 +
<!--T:80-->
 
Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita.
 
Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita.
  
 +
<!--T:81-->
 
Useita AD hallintaan liittyvät löytyy tälläisen komennon alta:
 
Useita AD hallintaan liittyvät löytyy tälläisen komennon alta:
  
   net ads
+
   <!--T:82-->
 +
net ads
  
 +
<!--T:83-->
 
Tämän komennon alta näet AD:n tilan
 
Tämän komennon alta näet AD:n tilan
  
   net ads status
+
   <!--T:84-->
 +
net ads status
  
== Linuxin poistaminen AD:sta ==
+
== Linuxin poistaminen AD:sta == <!--T:85-->
  
   net ads leave -U Administrator
+
   <!--T:86-->
 +
net ads leave -U Administrator
  
 +
<!--T:87-->
 
Tämän jälkeen muutat konfiguroinnit alkuperäiseen.
 
Tämän jälkeen muutat konfiguroinnit alkuperäiseen.
  
== Aiheeseen liittyvää ==
+
== Ongelmanratkaisu == <!--T:97-->
 +
 
 +
  <!--T:98-->
 +
Error looking up domain users
  
[[http://helenius.dy.fi/taisto/index.php/Apache2#Apache2_.2B_PAM_autentikointi]]
+
<!--T:99-->
 +
-> Käynnistä winbind uudelleen
  
== Muita hyödyllisiä linkkejä ==
+
== Aiheeseen liittyvää == <!--T:88-->
  
 +
<!--T:89-->
 +
[http://helenius.dy.fi/taisto/index.php/Apache2#Apache2_.2B_PAM_autentikointi Apache + PAM Autentikointi]
 +
 +
== Muita hyödyllisiä linkkejä == <!--T:90-->
 +
 +
<!--T:91-->
 
http://www.heikkiniemi.fi/files/Linux-AD-integrointi.pdf
 
http://www.heikkiniemi.fi/files/Linux-AD-integrointi.pdf
 +
 +
</translate>
 +
 +
[[Category:Linux]]
 +
[[Category:Active Directory]]

Nykyinen versio 28. lokakuuta 2016 kello 19.28

Muut kielet:
suomi

Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi Windows Serverin Active Directory Domain Serviceä.

Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24
Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1.
Windows-palvelimen ip-osoite on 192.168.0.2 ja nimi WIN.
Linux-tietokone käyttää ip-osoitetta 192.168.0.3 ja nimeä LNX.
Toimialueen nimi on firma.local.
Linux tietokone käyttää debianin versiota 7.1.0

Jos on kirjoitettu ISOLLA KIRJAIMILLA tai pienellä, laita niin. Linux on tarkka oikeinkirjoituksista. Jos ei toimi, tarkista konfiguroinnit tarkkaan!

Palveluiden asennus

Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.

aptitude install samba winbind krb5-user ntp

NTP on vapaaehtoinen, mutta suosittelemme asentamista. Kerberos vaatii että aikaero on enintään 5 minuuttia. NTP paketti päivittää automaattisesti kellon oikeaan aikaan.

Konfigurointi

Verkko / DNS

Ensimmäiseksi määritellään linuxin verkkoasetukset oikein, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten /etc/network/interfaces tiedosto pitää määritellä niin, että yhteys luonnistuu.

nano /etc/network/interfaces
auto eth0
iface eth0 inet static
       address 192.168.0.3
       netmask 255.255.255.0
       gateway 192.168.0.1

Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös /etc/resolv.conf tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. /etc/resolv.conf tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.

nano /etc/resolv.conf
search firma.local
nameserver 192.168.0.2

Tarkista että nimipalvelut toimivat molempiin suuntiin nslookupin avulla!

 nslookup win.firma.local
 nslookup 192.168.0.2

> Kun kysyt win.firma.local sen pitäisi vastata 192.168.0.2

> Kun kysyt 192.168.0.2 sen pitäisi vastata win.firma.local

Suositeltaa on pingata palvelimeen Linuxista Windowssiin IP-osoitteella ja DNS nimellä.

Samba

Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.

nano /etc/samba/smb.conf

Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.

workgroup = FIRMA
realm = FIRMA.LOCAL
security = ads
idmap gid = 10000-20000
idmap uid = 10000-20000
template shell = /bin/bash
domain master = no
winbind enum users = yes 
winbind enum groups = yes 
winbind use default domain = yes
winbind nested groups = yes
encrypt passwords = yes 
log level = 5 
log file = /var/log/samba/%m 
max log size = 1000 


Tämän jälkeen samba ja winbind pitää käynnistää uudelleen

service samba  restart
service winbind restart

Nyt liitoksen pitäisi onnistua komennolla

net ads join -U administrator

Jos tulee virhe No DNS domain configured for debian. Unable to perform DNS Update, niin muokkaa seuraava tiedosto:

 nano /etc/hosts

Seuraavanlaiseksi:

 127.0.0.1 hostname.domain.local hostname.domain.com hostname

Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. /etc/pam.d/ hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin common-session tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.

nano /etc/pam.d/common-session

Lisää tämä rivi konfiguraatiotiedoston alkuun:

session required          pam_mkhomedir.so umask=0077 skel=/etc/skel/

Kerberos

Asennusohjelma kysyy seuraavia:

Workgroup/domain -> firma.local

Kerberos servers for your realm -> win.firma.local

Administrative server for your Kerberos realm -> win.firma.local

Avaa seuraava tiedosto ja tarkista että on määritetty oikein

 nano /etc/krb5.conf
 [realms]
     SKILLS.LOCAL = {
     kdc = win.firma.local
     admin_server = win.firma.local
     default_domain = firma.local
     }
     [domain_realm]
      .firma.local = FIRMA.LOCAL
     firma.local = FIRMA.LOCAL

Nsswitch

Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa.

nano /etc/nsswitch.conf
passwd:        files winbind
group:         files winbind
shadow:        compat

NTP - Kello

On hyödyllistä käydä muuttamassa /etc/ntp/ntp.conf tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.

nano /etc/ntp.conf

Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.

server 192.168.0.2

Jos et asentanut NTP aikapalvelinta, laita palvelimesi oikeaan aikaan seuraavalla komennolla

 date --set 1998-11-02 
 date --set 21:08:00

HUOM!! Jos käytät graafista linuxia, niin avahi-daemonista voi koitua harmia. Poista se tarvittaessa komennolla

aptitude purge remove avahi-daemon

Testaus

Muista testata palvelun toimivuus seuraavilla komennoilla

Winbind testaus

Käyttäjätilien testaus:

 wbinfo -u

Käyttäjäryhmien testaus:

 wbinfo -g

Tarkista onko toimialueen ohjauskone saatavilla

root@debian:# wbinfo --ping-dc
checking the NETLOGON dc connection succeeded

Testaa kirjautuminen winbind:

root@debian:#wbinfo --pam-logon=DOMAIN\\user
Enter DOMAIN\user's password:
plaintext password authentication succeeded
  • NT_STATUS_WRONG_PASSWORD = Virheellinen salasana
  • NT_STATUS_NO_SUCH_USER = Tuntematon käyttäjä

Testaan Nsswitch

 getent passwd


 getent group

kerberoksen testaus

 kinit [email protected]

Samban jaon oikeudet AD:ssa

Jakojen oikeudet voidaan määritellä valid users ja write list-parametrien avulla. Parametrit hyväksyvät sekä käyttäjiä että ryhmiä. Ryhmät täytyy merkitä @-merkillä.

 [SHARE]
      path = /home/share
      valid users = @domain.local+"powerusers", domain.local+bill
      write list = @domain.local+"admins"

Kirjautumisrajoitukset

PAM voidaan konfiguroida sallimaan vain tietyn käyttäjäryhmän kirjautumiset:

 /etc/pam.d/common-auth 
 auth sufficient pam_unix.so nullok_secure 
 auth required pam_succeedif.so user ingroup admins

Hallinta

Windowssin AD ja Linuxin liitos hallinta on erilaista kuin Windows työasemien. Eikä tämä liitos ole edes täydellinen, joten tässä hieman ohjeita.

Useita AD hallintaan liittyvät löytyy tälläisen komennon alta:

 net ads

Tämän komennon alta näet AD:n tilan

 net ads status

Linuxin poistaminen AD:sta

 net ads leave -U Administrator

Tämän jälkeen muutat konfiguroinnit alkuperäiseen.

Ongelmanratkaisu

 Error looking up domain users

-> Käynnistä winbind uudelleen

Aiheeseen liittyvää

Apache + PAM Autentikointi

Muita hyödyllisiä linkkejä

http://www.heikkiniemi.fi/files/Linux-AD-integrointi.pdf

Mainos / Advertisement: