Как да направите Linux приятели с домейн на Active Directory

Архив от броеве / 2008 / Брой №3 (64) / Как да станем приятели на Linux с домейн на Active Directory

Категория: Администрация / Администрация

Мирослав Бусалов

Windows или Linux? Вероятно няма нито един системен администратор, който да не мисли за този проблем. Изписани са гигабайти текстове за плюсовете и минусите на операционните системи с отворен код и продуктите на Microsoft, ожесточените спорове не стихват от много години. Гледайки тези битки, искам само едно - хармония.

Да приемем следната ситуация. Някои от служителите на вашата компания извършват само рутинни операции в едно или две бизнес приложения с помощта на браузър. И операционната система за тях няма значение. Въз основа на икономическата осъществимост няма смисъл да се инсталира Windows на такива работни станции.

Статията е ръководство стъпка по стъпка за това как да "сприятелите" Linux работни станции с домейн на Active Directory.

Домейн на Active Directory, управляван от един или повече домейн контролери, базирани на Windows Server 2003; Kubuntu 7.10 се използва като работен плот на Linux

Бих искал да кажа следното за последната точка: в този пример Windows сървър се използва като файлов сървър. Следователно става дума само за съхраняване на потребителски данни. Не е възможно да запазите потребителски профил на UNIX на сървъра, тъй като Kubuntu 7.10 с вграден екранен мениджър на KDE се използва като работен плот на Linux. В процеса на създаване на потребителски профил, KDE създава символни връзки (symlinks), които са необходими за правилната работа. Естествено, за да създадете символна връзка във файлNTFS на Windows Server 2003 няма да работи.

domain.ru – пълно име на домейна на Active Directory;
dc.domain.ru – пълно име на домейн контролер;
fileserver.domain.ru е пълното име на файловия сървър.

Условно цялата работа може да бъде разделена на следните етапи:

Модернизиране на схемата на Active Directory

Не е възможно да се съхраняват UNIX потребителски атрибути като UID, GID, Login Shell, Home Directory в класическата AD схема. Следователно схемата трябва да бъде разширена чрез добавяне на възможност за съхраняване на информацията, от която се нуждаем. Има две възможности за това: първата е безплатен пакет на Microsoft, наречен Windows Services for UNIX 3.5 (SFU), втората е да се използва най-новата версия на фамилията сървъри 2003, Windows Server 2003 R2. Ние ще използваме втория вариант. Ако вашите домейн контролери и файлови сървъри вече работят с R2, можете спокойно да пропуснете няколко абзаца относно надграждането от стандартен Windows Server 2003 до R2.

Windows Server 2003 R2 е версия на Windows Server 2003, която има вградени Windows Services за UNIX (SFU) компоненти, от които се нуждаем, за да създадем разнородна среда за съхраняване на потребителски атрибути на UNIX в схемата на Active Directory. Изданието R2 включва два важни компонента:

Подсистема за UNIX-базирани приложения (SUA);
Управление на идентичността за UNIX (IMU).

SUA помага на UNIX приложенията да работят на Windows, както ако работят на Linux или UNIX. Това е извън обхвата на нашата статия, затова ще се съсредоточим върху компонента IMU, който съдържа услугите, необходими в бъдеще - Компоненти за администриране, Синхронизация на пароли, Сървър за NIS, сега ще разгледаме тяхното инсталиране.

Трябва да се отбележи, че са възможни два сценария за надграждане в зависимост от това дали имате инсталиран SFU пакет или не. Ще разгледаме опцията, в която SFU не е инсталиран. В противен случай препоръчвам да посетите английския ресурс http://www.winlinanswers.com/book/resources.php? >

След като поставите CD № 2 за разпространение на Windows Server 2003 R2 и се съгласите да продължите с инсталацията, ще видите съобщение за грешка, което описва, че инсталацията не може да продължи, тъй като версията на схемата на домейна е несъвместима с R2. Следователно първо трябва да изпълните следната команда:

където X е буквата, съответстваща на компактдиска за разпространение. След това можете да започнете да инсталирате компонентите на R2, като изпълните файла R2auto.exe от главната директория на компактдиска.

След като инсталирате компонентите на R2, трябва да изберете „Компоненти на Windows“ в контролния панел в секцията „Добавяне/премахване на програми“, след това да намерите реда „Услуги на Active Directory“ и да изберете инсталацията „Управление на самоличността за UNIX“ в подробностите.

След като инсталацията приключи, ще трябва да рестартирате сървъра.

Задаване на атрибути на бъдещи UNIX потребители и групи

Отворете модула Active Directory User and Computers и осъществете достъп до свойствата на всеки потребител. Появи се нов раздел UNIX Attributes, в който е възможно да се присвоят свойствата на UNIX потребител (виж фигурата). Първо трябва да създадем някои UNIX групи, които ще ни бъдат полезни в бъдеще.

UNIX потребителски свойства - UNIX атрибути

Създайте група потребители на UNIX - това ще бъде групата по подразбиране за всички потребители на UNIX. За да направите това, създайте група от типа, от който се нуждаете (домейн локален или глобален) по обичайния начин, след това отворете свойствата на тази група и отидете в раздела "UNIX атрибути". В реда „NIS домейн“ изберете вашиядомейн, след което на групата автоматично ще бъде присвоен GID. Ако не ви подхожда по някаква причина, можете ръчно да въведете нов идентификатор. Когато създавате следните групи, GID автоматично ще се увеличи с единица.

По подобен начин създайте групата UNIXadmins, която след това ще бъде посочена в конфигурационния файл /etc/sudoers като групата, чиито членове имат право да използват sudo на работните станции Kubuntu.

Създайте друга група и я наречете аудио, като й присвоите ръчно GID 29. Факт е, че в Linux има една особеност - файловете на аудио устройствата като правило имат обща група по такъв начин, че само собствениците на файлове и членовете на тази група могат да работят с аудио. След това ще добавим всички потребители към тази група, така че да имат възможност да използват слушалки и микрофон.

Сега изберете един от онези потребители във вашия домейн, на които искате да присвоите UNIX атрибути. В свойствата отворете раздела „UNIX Attributes“, точно както за групата, изберете името на вашия домейн в реда „NIS Domain“ и в реда „Primary group name/GID“ изберете групата по подразбиране UNIXusers.

Ако по някаква причина трябва да промените параметрите на входната обвивка и домашната директория, можете да направите това. UID ще бъде зададен автоматично, но можете да го въведете ръчно, ако желаете.

След като присвоихте UNIX атрибути на всички потребители, които се нуждаят от тях, нека се върнем към групите. При отворени свойства на групата UNIXusers в раздела „UNIX Attributes“ щракнете върху бутона „Add“ и добавете всички потребители там.

Ще направим същото с аудио групата и ще добавим само онези потребители, на които е разрешено да изпълняват sudo на работни станции, към групата UNIXadmins.

Сега остава само да създадете нов потребител, например unixldap, идайте му съответните атрибути. Акаунтът на този потребител ще се използва при регистрация и търсене в LDAP от десктоп на Linux, така че той трябва да бъде максимално ограничен в правата, например чрез изрично отказване на достъп до всички ресурси на файловия сървър и т.н.

Това завършва работата с модула Active Directory User and Computers.

Малко за настройката на файлов сървър за работа с UNIX клиенти

В този пример домашните директории на потребителите се монтират с помощта на CIFS (Обща интернет файлова система).

Ако за някои задачи трябва да работите с NFS (мрежова файлова система), тогава за да осигурите достъп до файловите ресурси на вашия Windows сървър от Linux настолни компютри, ще трябва да инсталирате пакета Microsoft Services за NFS на сървъра. Ето кратко ръководство как да го направите.

Отидете на контролния панел, след това в раздела за добавяне или премахване на програми изберете „Компоненти на Windows“, там отидете на „Други мрежови услуги за файлове и печат“ и в подробностите изберете инсталацията на „Microsoft Services за NFS“. От този пакет последните два елемента са незадължителни за инсталиране: Сървър за NFS удостоверяване и Съпоставяне на потребителско име. След инсталирането на тези услуги потребителите от работни станции, работещи с Linux, ще имат достъп до файловите ресурси на този сървър чрез NFS.

Настройване на работна станция с Kubuntu

Сега нека да преминем към най-голямата част от работата - конфигурирането на Kubuntu. Първо инсталирайте Kubuntu 7.10 на вашата работна станция, след това инсталирайте всички необходими актуализации, например с помощта на вградения Adept Updater на KDE.

Също така се препоръчва да промените опциите за влизане в KDE (други екранни мениджъри може да иматразлики) - отворете менюто "Системни настройки", отидете в раздела "Разширени", изберете там "Мениджър за влизане" и след като влезете в административния режим, деактивирайте опцията "Покажи списък" в раздела "Потребители". Ако това не бъде направено, системата ще покаже всички UNIX потребители във вашия домейн при влизане, което е напълно безполезно.

За коректната работа на протокола Kerberos, който ще се използва за удостоверяване в нашата разнородна среда, е изключително важно да синхронизираме времето на работната станция с домейн контролера.

Следователно, първата стъпка е да настроите синхронизирането на времето. За да направим това, ще направим следните промени във файла /etc/default/ntpdate:

Следващият път, когато компютърът се рестартира, той ще синхронизира часа с домейн контролера, но засега ще синхронизираме ръчно, като изпълним следната команда:

$sudo ntpdate -s dc.domain.ru

Посочете FQDN за персонализираната работна станция във файла /etc/hosts:

127.0.0.1 workstation.domain.ru локална работна станция

Проверете наличността на машината чрез FQDN с командата:

ping workstation.domain.ru – от 4

Сега трябва да инсталирате и конфигурирате поддръжката на Kerberos. Инсталирайте необходимите пакети:

$sudo apt-get инсталирате krb5-потребител libpam-krb5 krb5-config libkrb53 krb5-doc

Ако системата даде грешка:

dpkg беше прекъснат, трябва ръчно да стартирате dpkg --configure --a, за да коригирате този проблем

следвайте подканата, въведете:

$sudo dpkg --configure -a

По време на процеса ще бъдете помолени да решите дали да замените файла /etc/qt3/qt_plugins_3.3rc - приемете опцията по подразбиране, оставете текущата версия непроменена. Тази грешка понякога се появява във версия 7.10 след първото инсталиране на актуализации.

Инека започнем с настройката - ще направим промени във файла /etc/krb5.conf:

# DOMAIN.RU трябва да бъде изписано с ГЛАВНИ БУКВИ

# Следните променливи на krb5.conf са само за