Nykyinen versio |
Oma tekstisi |
Rivi 1: |
Rivi 1: |
| '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://seravo.fi/ Linux-tuki.fi/Seravo Oy]) koulutuskäyttöön''' | | '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten''' |
|
| |
|
| Windowsia käyttävissä yrityksissä on tyypillisesti '''Windows-toimialue''' (Active Directory, AD), johon '''jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana'''. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
| | artikkeli on vähän vaiheessa, viimeistelen sen perjantaihin mennessä |
|
| |
|
| Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa '''tällaisessa ympäristössä voi käyttää myös Linux-työasemia'''. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.
| | Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Domain, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan. |
|
| |
|
| Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express. | | Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-ohjelmistoista tuttuja käytäntöjä. Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express. |
|
| |
|
| Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
| | Toimialueelle liittymistä varten tarvitaan: |
| | * pääkäyttäjäoikeus omaan Linux-työasemaan |
| | * käyttäjätunnus ja salasana, joilla on oikeus liittyä toimialueeseen |
| | * toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local |
|
| |
|
| == Windows-toimialueelle liittyminen ==
| | Jos toimialueen verkkonimi ei ole aito, vaan olemassa ainoastaan paikallisesti, pidä huolta että Linux-työasema käyttää paikallista nimipalvelinta lisäämällä tiedostoon /etc/resolv.conf paikallisen DNS-palvelimen osoite, esimerkiksi: |
| | nameserver 192.168.0.1 |
|
| |
|
| Toimialueelle liittymistä varten tarvitaan:
| |
| * pääkäyttäjäoikeus omaan Linux-työasemaan
| |
| * Windows-verkon käyttäjätunnus ja salasana
| |
| * toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)
| |
|
| |
|
| Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa. | | Helpoin tapa liittää työasema Windows-toimialueeseen on käyttää Likewise Open -ohjelmistoa. |
|
| |
|
| Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: | | Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: |
| sudo apt-get install likewise-open | | sudo apt-get install likewise-open |
|
| |
|
| Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).
| | Lisää tiedostoon /etc/samba/lwiauthd.conf rivi |
| | winbind use default domain = yes |
| | jotta käyttäjätunnuksissa ei tarvitse erikseen ilmoittaa toimialuetta, esim "domain\otto" vaan pelkkä tunnus "otto" riittää. |
|
| |
|
| Sen jälkeen suorita liittäminen komennolla: | | Sen jälkeen suorita liittäminen komennolla: |
| sudo domainjoin-cli join yritys.fi Tunnus | | sudo domainjoin-cli join yritys.fi Tunnus |
|
| |
|
| Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus. | | Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Tämänjälkeen voit kirjautua työasemaan millä tahansa käyttäjätunnuksella, joka on AD:ssa. |
| | |
| Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.
| |
| | |
| Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.
| |
| | |
| | |
| === Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä ===
| |
| Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa ''/etc/lightdm/lightdm.conf'' (esim. ''sudo gedit /etc/lightdm/lightdm.conf'') ja asettamalla rivin:
| |
| greeter-show-manual-login=true
| |
| | |
| Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla
| |
| sudo service lightdm restart
| |
| | |
| Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:
| |
| sudo domainjoin-cli leave
| |
| | |
| === Kirjautuminen pelkällä tunnuksella, ilman toimialuetta ===
| |
| Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla:
| |
| | |
| sudo lwconfig AssumeDefaultDomain true
| |
| | |
| === Ylläpito-oikeudet Linux-työasemaan ===
| |
| | |
| AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins). | |
| | |
| %domain^admins ALL=(ALL:ALL) ALL
| |
| | |
| === Tiedostojaot ja muu yhteistoiminta Samban kanssa ===
| |
| Lisätietoja löytyy [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbise/Manuals/likewise-samba-guide.html Likewisen Samba-dokumentaatiosta], mutta nopeat loitsut alla:
| |
| | |
| sudo apt-get install samba
| |
| sudo samba-interop-install --install
| |
| | |
| Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/992970 bugiraportti #992970]. Ratkaisu on asentaa LikewiseOpen 7.0.
| |
| | |
| === Virhetilanteita ===
| |
| | |
| Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon ''sudo dpkg-reconfigure krb5-config'' tai muokata suoraan tiedostoa ''sudo nano /etc/krb5.conf''.
| |
| | |
| LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin ''lw-'' ja painaa pari kertaa sarkainta (tab).
| |
| | |
| === Lisätietoja ===
| |
| | |
| * [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbiso/Manuals/likewise-open-guide.html Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)]
| |
| * [https://help.ubuntu.com/community/LikewiseOpen LikewiseOpen Ubuntun wikissä]
| |
| * [https://help.ubuntu.com/12.04/serverguide/windows-networking.html Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking] (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka)
| |
| * [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta]
| |
|
| |
|
| == Exchangen käyttö Linuxissa ==
| |
|
| |
|
| Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.
| | TODO: |
| | * logonskriptin-vastine? Miten verkkolevyt ja -tulostimet liitetään automaattisesti kaikilla käyttäjillä? |
| | ** cifs korvannut sbmfs:n windows 2003 serveristä alkaen security signatures -toiminnon ollessa oletuksen apäällä |
| | ** verkkolevyn liittäminen /etc/fstab:lla on liian myöhään, pitää olla välittömästi sisäänkirjautumisen jälkeen |
| | * tulostimet kiinteästi työasemaan cupsin samba-asetuksilla? |
| | * kellojen synkronointi |
| | * salasanan vaihtamismahdollisuus |
| | * exchange |
| | ** thunderbird + lightning + plugin https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ |
| | ** evolution + plugin |
| | ** [http://davmail.sourceforge.net/ DavMail] ja mikä tahansa client |
|
| |
|
| [[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.
| | Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät. |
|
| |
|
| IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).
| | Lisätietoja: |
| | * [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa] |
| | * [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla] |
| | * [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)] |
|
| |
|
| [[Luokka:Verkko]] | | [[Luokka:Verkko]] |
| [[Luokka:Ohjeet]] | | [[Luokka:Ohjeet]] |
| [[Luokka:Opetusmateriaalit]]
| |