Ero sivun ”Linux-työaseman liittäminen Windows AD-toimialueeseen” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
Ei muokkausyhteenvetoa
Rivi 1: Rivi 1:
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten'''
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http://seravo.fi/ Linux-tuki.fi/Seravo Oy]) koulutuskäyttöön'''


Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Windowsia käyttävissä yrityksissä on tyypillisesti '''Windows-toimialue''' (Active Directory, AD), johon '''jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana'''. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.


Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat ollet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.  
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa '''tällaisessa ympäristössä voi käyttää myös Linux-työasemia'''. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.  


Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express.
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.


Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.


== Windows-toimialueelle liittyminen ==
== Windows-toimialueelle liittyminen ==
Rivi 40: Rivi 40:
sudo lwregshell set_value "HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory" AssumeDefaultDomain 0x00000001
sudo lwregshell set_value "HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory" AssumeDefaultDomain 0x00000001


==== Ubuntu 10.04 ====
Ubuntu 10.04:ssä olevan LikeWisen [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/534629 bugin] takia asetuksen muuttaminen ei toimi, vaan LikeWise pitää päivittää uudempaan versioon PPA:sta komennoilla:
Ubuntu 10.04:ssä olevan LikeWisen [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/534629 bugin] takia asetuksen muuttaminen ei toimi, vaan LikeWise pitää päivittää uudempaan versioon PPA:sta komennoilla:


Rivi 54: Rivi 55:
=== Lisätietoja ===
=== Lisätietoja ===


* [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)]
* [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbiso/Manuals/likewise-open-guide.html Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)]
* [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla] (versionumerosta huolimatta ohje osittain vanhentunut)
* [https://help.ubuntu.com/community/LikewiseOpen LikewiseOpen Ubuntun wikissä]
* [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa] (vaihtoehtoinen tekniikka)
* [https://help.ubuntu.com/12.04/serverguide/windows-networking.html Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking] (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka)
* [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta]
* [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta]


Rivi 65: Rivi 66:
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.


IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa.
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).


[[Luokka:Verkko]]
[[Luokka:Verkko]]
[[Luokka:Ohjeet]]
[[Luokka:Ohjeet]]
[[Luokka:Opetusmateriaalit]]
[[Luokka:Opetusmateriaalit]]

Versio 5. maaliskuuta 2013 kello 10.58

Tämän artikkelin on laatinut Otto Kekäläinen (Linux-tuki.fi/Seravo Oy) koulutuskäyttöön

Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.

Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.

Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.

Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.

Windows-toimialueelle liittyminen

Toimialueelle liittymistä varten tarvitaan:

  • pääkäyttäjäoikeus omaan Linux-työasemaan
  • Windows-verkon käyttäjätunnus ja salasana
  • toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)

Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.

Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:

sudo apt-get install likewise-open

Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).

Sen jälkeen suorita liittäminen komennolla:

sudo domainjoin-cli join yritys.fi Tunnus

Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.

Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.

Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.

Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:

sudo domainjoin-cli leave

Kirjautuminen pelkällä tunnuksella, ilman toimialuetta

Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla LikeWisen rekisteriä komennolla:

sudo lwregshell set_value "HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory" AssumeDefaultDomain 0x00000001

Ubuntu 10.04

Ubuntu 10.04:ssä olevan LikeWisen bugin takia asetuksen muuttaminen ei toimi, vaan LikeWise pitää päivittää uudempaan versioon PPA:sta komennoilla:

sudo add-apt-repository ppa:likewise-open/likewise-open-ppa
sudo apt-get update
sudo apt-get upgrade

Virhetilanteita

Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon sudo dpkg-reconfigure krb5-config tai muokata suoraan tiedostoa sudo nano /etc/krb5.conf.

LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin lw- ja painaa pari kertaa sarkainta (tab).

Lisätietoja

Exchangen käyttö Linuxissa

Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.

Thunderbirdiin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen Exchange-lisäosa. Myös Evolution-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.

IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä DavMail edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).