В те времена, когда в нашей сети повсеместно использовался Windows был поднят домен Active Directory. У каждого пользователя была своя учётка и личный каталог на сервере. Соответственно, права доступа к компьютерам и корпоративным ресурсам давались всем разные.
Но случилось так, что заканчивается подписка на Windows на некоторых компьютерах, а денег на новую нет. Проанализировав список ПО, с которым работают на этих ПК мы обнаружили, что практически всему есть бесплатные аналоги. Исходя из чего было принято решение о переводе этих компьютеров на Linux.
Основная проблема заключалась в том, чтобы пользователи так же проходили аутентификацию на контроллере домена и могли работать с корпоративными ресурсами в соответствии со своими правами. О том как решалась первая часть проблемы и пойдёт речь в этой статье.
ОС: Ubuntu 10.04 Desktop
Предварительная настройка клиента
Файл /etc/nsswitch.conf должен содержать следующую строку:
hosts: files dns
Эта строка кроме может содержать и другие записи, но важно чтобы среди них были files и dns, и чтобы запись files стояла до dns. Например, строка может выглядеть так:
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
В файле /etc/resolv.conf должна быть запись о DNS-сервере, способном вернуть записи о контроллере домена. Обычно контроллер домена и DNS-сервер располагаются на одном компьютере. Например:
search likewisedemo.com
nameserver 192.168.100.132
Так же на фаерволе должны быть открыты следующие порты:
- 53 (UDP/ TCP) — DNS
- 88 (UDP/TCP) — Kerberos 5
- 123 (UDP) — NTP
- 137 (UDP) — NetBIOS Name Service
- 139 (TCP) — NetBIOS Session (SMB)
- 389 (UDP/TCP) — LDAP
- 445 (TCP) — SMB over TCP
- 464 (UDP/TCP) — Machine password changes (typically after 30 days)
- 3268 (TCP) — Global Catalog search
Посмотреть правила фаервола можно командой
iptables -nL
В Ubuntu по умолчанию все порты открыты.
Ввод в домен
Для ввода в домен нам потребуется продукт Likewise-open. Установим его:
apt-get install likewise-open
Запускаем мастер ввода в домен:
Система > Администрирование > Active Directory membership
или в консоли:
domainjoin-cli join domainname username
Далее необходимо перезагрузиться:
reboot
Вход в систему
При входе в систему из графического интерфейса имя пользователя вводится в следующем формате:
domainname\username
из консоли:
domainname\\username
Домашние каталоги пользователей по умолчанию расположены в /home/likewise-open/domainname/
Выход из домена
Покинуть домен можно через тот же мастер, либо в консоли:
domainjoin-cli leave
Изменение имени компьютера
Для изменения имени нужно:
- Выйти из домена
- Изменить имя
- Войти в домен
Работа с реестром Likewise
Войти в консольный редактор реестра можно командой
lwregshell
Обновить параметры реестра после изменения можно командой
lwsm refresh lsass
Вот некоторые команды для работы с реестром:
cd
Перемещение по веткам реестра аналогично cd в bash:
cd HKEY_THIS_MACHINE\Services\lsass\Parameters\PAM
ls
Просмотр содержимого ветки
set_value
Изменение значения записи:
set_value LogLevel error
Здесь значение LogLevel меняется на error
quit
Выход из оболочки
Некоторые настройки
Разделитель в имени пользователя
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]
Имя: DomainSeparator
По умолчанию: «\»
Домен по умолчанию
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]
Имя: AssumeDefaultDomain
По умолчанию: 0
Примечание: на момент написания статьи данный параметр не работал, на форумах писали, что работать перестал только в этой версии. Будем надеятся, что баг будет исправлен.
Shell и домашний каталог для пользователей домена
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\Local]
Записи:
«LoginShellTemplate»=»/bin/sh»
«HomeDirTemplate»=»%H/local/%D/%U»
«HomeDirPrefix»=»/home»
«CreateHomeDir»=dword:00000001
Права, даваемые файлам в домашнем каталоге
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\Local]
Имя: HomeDirUmask
По умолчанию: «022»
Директория, из которой берутся файлы при создании домашней директории
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]
Путь: [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\Local]
Имя: SkeletonDirs
По умолчанию: «/etc/skel»
Использование доменных пользователей
Изменяем владельца файла:
chown ‘domainname\username’ filename
Добавляем пользователя в локальную группу:
adduser ‘domainname\username’ adm
Даём группе права sudo:
%DOMAIN\\Domain\ Admins ALL=(ALL) ALL
#1 by sidelnikov on 03.01.2011 - 18:49
Намучавшись с Likewise-open (были проблемы с автозагрузкой и аутентификацией на сетевых ресурсах) начал вводить в домен через winbind. Ощущения самые положительные — это и сквозная аутентификация на сетевых ресурсах домена, и более стабильная работа.
Вот хороший мануал по настройке для Ubuntu: http://help.ubuntu.ru/wiki/ввод_в_домен_windows
#2 by стас on 15.04.2011 - 10:45
вобщем 3 дня парился с likiwese,winbind и.т.п затем поставил mandriva и там всё автоматом сделалось,вот так,если что пишите отвечу!