Suse 9.2 Professional munkaállomás identifikálás Windows 2000 Server alá

A HupWiki-ből...

Szerző: kbela

Ez az első ilyen dokumentáció, amelyet írok, és mivel nem vagyok a szavak embere nem tudom, hogy mennyire lesz jó. Az egész úgy kezdődött, hogy már kezdett bosszantani, hogy néha hónapok múltán kell visszaemlékeznem beállításokra és ez elég nehéz dolog. Úgy gondoltam, hogy leírom ezeket a specifikus beállításokat egyrészt azért, hogy nekem meglegyen és ugyanakkor esetleg másokat is segítsek.

Tartalomjegyzék

Feladat

A feladat a következő volt: egy egyetem hálózatáról van szó, ahol nagyon sok a felhasználó és Active Directory van használatban a felhasználók azonosítására. Egy idő után megjelentek a Linux munkaállomások is és persze felmerült a probléma, hogy kéne használni a már beüzemelt azonosítást. Amint a címben is szerepel a munkaállomás SuSE 9.2, a szerver pedig Windows 2000 Server. Más Linux disztribúció alatt valószínűleg ugyanígy működik a dolog, kisebb változtatással. Amit itt leírok, az SuSE alatt lett kipróbálva.

Köszönet

Elsősorban köszönetet kel mondjak Budai Lászlónak, aki kidolgozta az egészet és megosztotta velem. Tehát én most ebben az esetben csak íródiák és tesztelő voltam, valamint kínoztam a fent említett úriembert mert elsőre nem sikerült reprodukálni az eljárást.

A leírásban használt IP címek, számítógép nevek és tartomány nevek nem valósak. A konfigurációs állományokból csak azokat a részeket írom le, amelyek pluszban vannak vagy különböznek az alapértelmezettől. A tartományt TARTOMANY.COMnak fogjuk hívni. Egy darab tartományvezérlőnk van telepítve a gepnev.tartomany.com teljes nevű gépen. A gép IP címe 192.168.0.10 lesz.

Telepítés

Na akkor lássuk a medvét! Az első megoldandó feladat az, hogy telepítve kell legyen a Samba, a winbind és a heimdal (ez az egyik kerberos kliens neve a SuSE és más distrok alatt). Ezeket természetesen a legkönnyebb a YAST segítségével telepíteni. Ezt gondolom bárki meg tudja csinálni aki használ SuSE-t.

Konfigurálás

Ezután jön a konfigurálás, és mint minden rendes Linux adminisztrátor, manuálisan fogjuk csinálni.

Konfigurációs fájlok

Az első konfigurációs állomány a /etc/samba/smb.conf, amely a Sambát konfigurálja:

/etc/samba/smb.conf
{{{2}}}

A többi természetesen marad úgy, ahogy az eredeti állományban van.

A következő konfigurációs állomány az /etc/krb5.conf, amely beállítja a Kerberost, amely a titkositást biztosítja.

/etc/krb5.conf
{{{2}}}

A többi természetesen marad úgy ahogy az eredeti állományban van.

Jöhet a következő: /etc/nsswitch.conf.

/etc/nsswitch.conf
{{{2}}}

Természetesen minden más marad úgy, ahogy az eredetiben találtuk.

Jogosultságok

És most eljutottunk a jogokhoz. Az /etc/pam.d könyvtárban találjuk azokat az állományokat, amelyek azt határozzák meg, hogy kinek milyen jogaik lesznek. Innen minket az /etc/pam.d/login állomány érdekel, amely meghatározza a belépést a gépre. Itt kivételesen bemásoltam az egészet, mert rövid.

/etc/pam.d/login
{{{2}}}

Indítás

Most már meglenne a konfigurálás, el kéne indítani. Először is el kell indítani a winbindet. Ez a legegyszerűbb a YAST segítségével, ott ugyanakkor be lehet állítani azt is, hogy minden gépindításnál induljon el automatikusan. A következő az, hogy kérünk egy Kerberos jegyet (ticket), amivel aztán jogunk van használni a tartományhoz tartozó erőforásokat:

 kinit administrator@TARTOMANY.COM

Ahol administrator az a felhasználó akinek joga van a tartományba beléptetni a gépeket. Kérni fogja az illető felhasználó jelszavát. Figyelem, a kukac utáni részt vagyis a tartomány teljes nevét nagybetűkkel kel írni!

Most jön a tartományba való belépés:

net ads join

Ha minden igaz, akkor sikerült a belépés, és innen már használhatjuk a tartománybeli felhasználó nevünket és jelszavunkat. A legegyszerűbb ellenőrzés az, hogy lekérdezzük a tartománybeli felhasználok neveit a következő paranccsal:

wbinfo -u
Személyes eszközök