Mainos / Advertisement:

Ero sivun ”Linux AD liitos” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 46: Rivi 46:
 
  template shell = /bin/bash
 
  template shell = /bin/bash
 
  domain master = no
 
  domain master = no
 +
winbind enum users = yes
 +
winbind enum groups = yes
 
  winbind use default domain = yes
 
  winbind use default domain = yes
 
  winbind nested groups = yes
 
  winbind nested groups = yes
 +
encrypt passwords = yes
 +
log level = 5
 +
log file = /var/log/samba/%m
 +
max log size = 1000
 +
  
 
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen
 
Tämän jälkeen samba ja winbind pitää käynnistää uudelleen

Versio 17. huhtikuuta 2014 kello 11.33

Tässä oppaassa neuvomme sinua kuinka liität linux tietokoneen osaksi windowsin active directorya.

Esimerkissämme käytössämme on verkkoavaruus 192.168.0.0/24 Oletusyhdyskäytävänä (Default Gateway) on verkon ensimmäinen osoite eli 192.168.0.1 Windows-palvelimen ip-osoite on 192.168.0.2 ja nimi WIN Linux-tietokone käyttää ip-osoitetta 192.168.0.3 ja nimeä LNX Toimialueen nimi on firma.local


Palveluiden asennus

Jotta voit liittää linux tietokoneen osaksi AD:ta, sinun tarvitsee asentaa muutama ohjelmisto.

aptitude install samba winbind krb5-user ntp

Konfigurointi

Ensimmäiseksi määritellään linuxin verkkoasetukset oikeiksi, jotta liitos saadaan tehtyä onnistuneesti. Linuxin pitää saada yhteys DC-palvelimeen (Domain Controller), joten /etc/network/interfaces tiedosto pitää määritellä niin, että yhteys luonnistuu.

nano /etc/network/interfaces
auto eth0
iface eth0 inet static
       address 192.168.0.3
       netmask 255.255.255.0
       gateway 192.168.0.1

Toimialueen ohjauskone (DC) hoitaa luonnollisesti myös nimipalvelimen (DNS) tehtäviä eli myös /etc/resolv.conf tiedostoa pitää muokata niin, että linux tietokone ymmärtää tehdä nimikyselyt DC:n kautta. /etc/resolv.conf tiedostoon määritellään myös mitä toimialuetta tietokone käyttää.

nano /etc/resolv.conf
search firma.local
nameserver 192.168.0.2

Seuraavaksi konfiguroimme samban. Samba on mainio ohjelmisto linuxin windows-integraatiointiin, yleisimmin se tunnetaan ehkä tiedostopalvelimena. Samban avulla voi AD-liitoksen lisäksi tehdä jopa linux-palvelimesta itsenäisen DC:n, mutta meille riittää pelkkä liitos.

nano /etc/samba/smb.conf

Samba tiedostosta tarvii löytyä ainakin seuraavat kohdat [Global] kohdan alta. Tarpeen mukaan siis lisää, tai muokkaa tiedostoa niin että sieltä löytyy nämä.

workgroup = FIRMA
realm = FIRMA.LOCAL
security = ads
idmap gid = 10000-20000
idmap uid = 10000-20000
template shell = /bin/bash
domain master = no
winbind enum users = yes 
winbind enum groups = yes 
winbind use default domain = yes
winbind nested groups = yes
encrypt passwords = yes 
log level = 5 
log file = /var/log/samba/%m 
max log size = 1000 


Tämän jälkeen samba ja winbind pitää käynnistää uudelleen

service samba winbind restart

Nyt liitoksen pitäisi onnistua komennolla

net ads join -U administrator

Nyt kirjautuminen pitäisi onnistua toimialueen tunnuksilla. Kuitenkaan integraatio ei ole vielä kovin syvällinen. /etc/pam.d/ hakemiston alta löytyy kirjautumiseen vaikuttavia asetustiedostoja. Nyt käymme lisäämässä yhden rivin common-session tiedostoon, jotta linuxiin syntyisi käyttäjille kotikansiot sisäänkirjautuessa.

nano /etc/pam.d/common-session

Lisää tämä rivi konfiguraatiotiedoston alkuun:

session require          pam_mkhomedir.so umask=0077 skel=/etc/skel/

Nsswitch.conffista voimme määritellä mitä tiedostoja linux käyttää ensisijaisesti käyttäjien kohdalla. Käymme siis muokkaamassa nsswitch.conf tiedostoa niin että linux käyttää ensisijaisesti winbindiä käyttäjätiedostoja hakiessa.

nano /etc/nsswitch.conf
passwd:        files winbind
group:         files winbind
shadow:        compat

On hyödyllistä käydä muuttamassa /etc/ntp/ntp.conf tiedostoa niin, että linux käyttää DC:tä aikapalvelimenaan. Liitos voi kuitenkin onnistua vaikka tätä ei tekisi, mutta jos DC ja clientti (asiakastietokone) jostain syystä joskus joutuvat eri aikaan, niin integraatio ei toimi kunnolla.

nano /etc/ntp/ntp.conf

Käy asettamassa windows-palvelimen ip-osoite kohtaan jossa on muitakin servereitä lueteltuna.

server 192.168.0.2

HUOM!! Jos käytät esimerkiksi graafista debiania, niin avahi.daemonista voi koitua harmia. Poista se siis komennolla

aptitude purge remove avahi.daemon
Mainos / Advertisement: