Linux i Active Directory - część II
27 listopada 2008 13:49
Patryk Królikowski
Jakiś czas temu pokazaliśmy w jaki sposób zintegrować Linuksa z Active Directory - z tym, że wszystko odbywało się przy pomocy starej, sprawdzonej linii poleceń. Obecnie pokażemy, jak w sposób nieskomplikowany osiągnąć ten sam cel z poziomu środowiska graficznego. W naszym przykładzie posłużymy się jedną z popularnych dystrybucji pingwina - Open SUSE (w wersji 11).
Co zyskujemy poprzez integrację linuksowej stacji roboczej z AD? Po pierwsze, administrator domeny będzie widział w ewidencji AD takie systemy. Po drugie, będziemy mogli wreszcie korzystać z ujednoliconego systemu logowania. Ujednoliconego tj. nie tylko takiego, który umożliwia zalogowanie jednym hasłem, ale też potrafi wymusić określoną politykę takiego hasła, czy przypomnieć o tym, że niedługo wygaśnie.
A zatem do dzieła. Jak zwykle mamy dwa podstawowe scenariusze. Pierwszy zakłada, że instalujemy system od zera. Wówczas przyłączenia do domeny AD możemy dokonać już podczas instalacji. Scenariusz drugi to taki, kiedy mamy działający system, który powinien znaleźć się w domenie.
Instalka od zera
Po uruchomieniu instalatora, jeżeli chcemy mieć większą kontrolę na procesem instalacji odznaczamy opcję konfiguracji automatycznej. Nie jest to krok niezbędny, ale ułatwia "podrzeźbienie" konfiguracji. Przechodzimy przez następne etapy instalacji, aż do momentu dotarcia do zakładki "Ustawienia użytkownika". Tutaj w Ustawieniach zaawansowanych wskazujemy jako metodę uwierzytelniania "Domenę Windows". Pozwalamy instalatorowi na dalszą instalację i zatrzymujemy się dopiero na zakładce "Nazwa Hosta". W kolejnym kroku nadajemy nazwę naszemu komputerowi (w naszym przykładzie Komputer) i wskazujemy nazwę domeny, do której chcemy podpiąć naszego Linuksa.
Teraz dokonujemy właściwego przyłączenia do domeny. Musimy więc podać jej nazwę oraz podjąć decyzję o tym, czy będziemy pozwalali na uwierzytelnianie w przypadku niedostępności kontrolera domeny ("Uwierzytelnianie offline"). W tym przypadku przynajmniej raz musimy zalogować się do Linuksa przy działającym kontrolerze. Potem możemy korzystać z dobrodziejstw Uwierzytelniania offline.
Jeżeli połączenie z domeną i wpisane dane są prawidłowe powinniśmy zostać poproszeni o podanie nazwy konta domenowego, które posiada prawo przyłączania komputerów do domeny.
Mamy już pierwszy sukces, ale to jeszcze nie koniec. Ponieważ uwierzytelnianie Linuksa w domenie Windows wykorzystuje Kerberosa potrzebujemy również klienta, który będzie potrafił obsłużyć tego rodzaju komunikację. Na szczęście odpowiedniego agenta możemy pobrać jeszcze z poziomu instalatora.
Po zakończeniu instalacji pozostaje tylko szybki rzut oka na to, czy nasz "Komputer" został dodany do domeny. I gotowe.
Ostatnim krokiem jest zalogowanie się do komputera przy użyciu konta użytkownika domenowego.
Dołączenie do domeny
Scenariusz drugi jest równie prosty we wdrożeniu, jak pierwszy. Po uruchomieniu systemu otwieramy Centrum Sterowania i przechodzimy do sekcji Zarządzanie użytkownikami. Tam w zakładce "Ustawienia uwierzytelniania" musimy skonfigurować dwie sekcje - SAMBA oraz Kerberos. Zaczynamy od Kerberosa. Uzupełniamy pola Domyślna domena oraz Domyślny zakres nazwą domeny, do której będziemy podłączeni. Następnie wpisujemy adres lub nazwę kontrolera domeny.
Po wykonaniu tego kroku musimy dograć klienta Kerberosa oraz moduł obsługi Kerberosa w PAM (Pluggable Authentication Module), czyli mechanizmie uwierzytelniania w Linuksie.
W kolejnym kroku konfigurujemy SAMBĘ. Wpisujemy zatem nazwę domeny, pozwalamy na wykorzystanie informacji SAMBY do uwierzytelnienia w Linuksie, pozwalamy na tworzenie katalogu domowego i włączamy uwierzytelnianie w przypadku niedostępności kontrolera domeny. Dalej zgadzamy się na przyłączenie komputera do domeny i podajemy konto, które pozwala na wykonanie tej czynności. Możemy jeszcze, tak jak poprzednio, sprawdzić na kontrolerze domeny, czy podłączenie faktycznie zakończyło się sukcesem.
Widać, że tak. Pojawił się nowy komputer "linux-llxj".
Musimy jeszcze tylko doinstalować komponent samba-winbind. Dzięki niemu użytkownicy domeny windowsowej będą mogli zostać dodani do Linuksa zgodnie z zasadami w nim panującymi. Po instalacji i konfiguracji wszystkich potrzebnych komponentów musimy jeszcze tylko zrestartować komputer.
wydrukuj
wyślij do znajomego