Ubuntu в домене Windows 2008 server

В те времена, когда в нашей сети повсеместно использовался Windows был поднят домен Active Directory. У каждого пользователя была своя учётка и личный каталог на сервере. Соответственно, права доступа к компьютерам и корпоративным ресурсам давались всем разные.

Но случилось так, что заканчивается подписка на Windows на некоторых компьютерах, а денег на новую нет. Проанализировав список ПО, с которым работают на этих ПК мы обнаружили, что практически всему есть бесплатные аналоги. Исходя из чего было принято решение о переводе этих компьютеров на Linux.

Основная проблема заключалась в том, чтобы пользователи так же проходили аутентификацию на контроллере домена и могли работать с корпоративными ресурсами в соответствии со своими правами. О том как решалась первая часть проблемы и пойдёт речь в этой статье.

ОС: Ubuntu 10.04 Desktop

Предварительная настройка клиента

Файл /etc/nsswitch.conf должен содержать следующую строку:

hosts: files dns

Эта строка кроме может содержать и другие записи, но важно чтобы среди них были files и dns, и чтобы запись files стояла до dns. Например, строка может выглядеть так:

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4

В файле /etc/resolv.conf должна быть запись о DNS-сервере, способном вернуть записи о контроллере домена. Обычно контроллер домена и DNS-сервер располагаются на одном компьютере. Например:

search likewisedemo.com
nameserver 192.168.100.132

Так же на фаерволе должны быть открыты следующие порты:

53 (UDP/ TCP) — DNS
88 (UDP/TCP) — Kerberos 5
123 (UDP) — NTP
137 (UDP) — NetBIOS Name Service
139 (TCP) — NetBIOS Session (SMB)
389 (UDP/TCP) — LDAP
445 (TCP) — SMB over TCP
464 (UDP/TCP) — Machine password changes (typically after 30 days)
3268 (TCP) — Global Catalog search

Посмотреть правила фаервола можно командой

iptables -nL

В Ubuntu по умолчанию все порты открыты.

Ввод в домен

Для ввода в домен нам потребуется продукт Likewise-open. Установим его:

apt-get install likewise-open

Запускаем мастер ввода в домен:

Система > Администрирование > Active Directory membership

или в консоли:

domainjoin-cli join domainname username

Далее необходимо перезагрузиться:

reboot

Вход в систему

При входе в систему из графического интерфейса имя пользователя вводится в следующем формате:

domainname\username

из консоли:

domainname\\username

Домашние каталоги пользователей по умолчанию расположены в /home/likewise-open/domainname/

Выход из домена

Покинуть домен можно через тот же мастер, либо в консоли:

domainjoin-cli leave

Изменение имени компьютера

Для изменения имени нужно:

Выйти из домена
Изменить имя
Войти в домен

Работа с реестром Likewise

Войти в консольный редактор реестра можно командой

lwregshell

Обновить параметры реестра после изменения можно командой

lwsm refresh lsass

Вот некоторые команды для работы с реестром:

cd

Перемещение по веткам реестра аналогично cd в bash:

cd HKEY_THIS_MACHINE\Services\lsass\Parameters\PAM

ls

Просмотр содержимого ветки

set_value

Изменение значения записи:

set_value LogLevel error

Здесь значение LogLevel меняется на error