LinuxUser Linux w domenieWin

background image

separator „\” używany w Windows. Opisywa-
na procedura powinna działać z następujący-
mi wersjami Windows:



MS Windows NT 4 Server, jako główny
kontroler domeny PDC (Primary Doma-
in Controller)



MS Windows 2000/2003 Server, jako kon-
troler domeny Active Directory

Wersja językowa serwerów nie ma znaczenia.
Nie ma również znaczenia, czy zostały zain-
stalowane aktualizacje Service Pack i hotfi-
xes. W okienku logowania KDE od razu za-
uważysz, czy dostępna jest opcja logowania
do domeny, ponieważ zostaną wyświetlane
wszystkie konta domenowe, których można
użyć do logowania. Pamiętaj, że opisywana da-
lej konfiguracja może zostać wykonana jedynie
przez doświadczonego użytkownika Linuksa.
Trzeba także pamiętać, że w przypadku Active
Directory opisywana konfiguracja będzie dzia-
łać jeśli domena będzie pracować w trybie „mi-
xed” – dopuszczającym korzystanie z niej przez
systemy inne niż Windows 2000.

Przygotowania po stronie

kontrolera domeny

Logowanie z poziomu Linuksa do domeny
Windows w zasadzie nie wymaga konfigura-
cji domeny, poza zmianą domyślnej nazwy
grupy użytkowników domenowych „Użyt-
kownicy domeny”. Ze względu na błąd w ser-
werze Samba, nazwa tej grupy nie może za-
wierać spacji, ponieważ przy próbie logowa-
nia na konsoli otrzymasz komunikat „[: too
many agruments”, choć system cię zaloguje.
Natomiast logowanie z poziomu KDE za-
kończy się niepowodzeniem. Żeby uniknąć
tego problemu trzeba na kontrolerze domeny
zmienić nazwę (widoczną dla systemów star-
szych niż Windows 2000) tej grupy np. na
„UżytkownicyDomeny”.

Przygotowanie Linuksa do

pracy w domenie

Aby można było logować się bezpośrednio do
domeny Windows NT/2000/2003, potrzebna
jest, co najmniej wersja 2.2.2 serwera Samba.

Samba 2.2.2 zawiera moduł „winbind”, który
jest odpowiedzialny za autoryzację w dome-
nie Win NT/2000. Gotowy do instalacji plik
RPM lub DEB, zawierający serwer Samba,
możesz ściągnąć z adresu http://pl.sam-
ba.org/samba/ftp/Binary_Packages/
.

Pamiętaj, że przy takim trybie instalacji do-

tychczasowa konfiguracja Samby zostanie za-
pisana w pliku /etc/samba/smb.conf.rpmsav. Jeśli
jesteś doświadczonym administratorem Li-
nuksa, to najlepiej samodzielnie skompiluj
Sambę, ściągając najnowszą wersję kodu źró-
dłowego ze strony http://www.samba.org. Po
zainstalowaniu serwera Samba musisz wyko-
nać następujące czynności konfiguracyjne:
1. Zmień zawartość pliku /etc/nsswitch.conf
tak, żeby zawierał wpisy:

passwd:

compat winbind

shadow:

compat

group: compat winbind

2. Zmień plik „/etc/samba.d/smb.conf” tak,
żeby opcje w sekcji „[global]” wyglądały na-
stępująco:

domain master = No
local master = No

C

zy stacja robocza z Linuksem może
pracować w domenie Windows
NT/2000? Do niedawna było to nie-

możliwe, ale najnowsze wersje serwera Sam-
ba zawierają oprogramowanie, które na to
pozwala. Dzięki temu każdy użytkownik, po-
siadający konto w domenie, może się zalogo-
wać się do stacji roboczej z Linuksem nawet,
jeśli nie ma konta w samym Linuksie. Do do-
meny będziesz się logować bezpośrednio
z okienka menedżera logowania do KDE. Je-
dyna różnica jest taka, że nazwę użytkownika
podajemy w formacie:

LAB+pawel

Gdzie „LAB” to nawa domeny, a „pawel” to
nazwa konta w domenie. Znak „+” zastępuje

96

Luty 2004

www

.linux-magazine.pl

Linux w sieci Windows

LINUX USER

Linux może korzyst

ać z domeny W

indows

NT/2000, t

ak samo jak systemy firmy

Microsof

t. Daje to całkiem nowe

możliwości pracy w sieciach

firmowych.

PAWEŁ LESZEK

Linux w sieci Windows

Linux w domenie

Windows NT/2000/2003

Rysunek 1. Zmiana nazwy grupy użytkowników

domeny na taką, która nie zawiera spacji.

background image

password server = *
security = domain
template homedir = /home/%D/%U
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
winbind gid = 10000-20000
winbind separator = +
winbind uid = 10000-20000
workgroup = domena

Oczywiście należy zastąpić słowo „domena”
nazwą (NetBIOS-ową) domeny NT/2000/
2003 do której chcesz się logować. Jeśli
chcesz korzystać z określonego kontrolera ja-
ko serwera haseł, to wpisz jego nazwę (Net-
BIOS-ową) w opcji password server.

3. Zmień plik /etc/pam.d/kde, który odpowia-
da za autoryzację w graficznym okienku logo-
wania KDE:

auth required pam_nologin.so
auth sufficient pam_winbind.so
auth required pam_pwdb.so

U

use_first_pass shadow nullok
account required pam_winbind.so
password required pam_cracklib.so

U

type=user retry=3
password required pam_pwdb.so

U

use_authtok
session required pam_mkhomedir.so

U

skel=/etc/skel umask=0022
session required pam_pwdb.so

4. Trzeba także zmienić plik /etc/pam.d/
kscreensaver
, odpowiadający za autoryzację
użytkownika po zablokowaniu ekranu przez
wygaszacz ekranu:

auth sufficient pam_winbind.so
auth required pam_pwdb.so

U

use_first_pass shadow nullok

5. Plik /etc/pam.d/login – najważniejszy ze
wszystkich opisywanych – odpowiada za au-
toryzację w trybie znakowym oraz tworzenie
domyślnych plików konfiguracyjnych dla
użytkownika po pierwszym zalogowaniu:

auth required pam_securetty.so
auth required pam_nologin.so
auth sufficient pam_winbind.so
auth required pam_pwdb.so

U

use_first_pass shadow nullok
auth optional pam_mail.so
account required pam_winbind.so
session required pam_mkhomedir.so

U

skel=/etc/skel umask=0022
session required pam_pwdb.so
session optional pam_lastlog.so
password required pam_pwdb.so

6. Na koniec zmień plik /etc/pam.d/samba,
odpowiadający za autoryzację serwera Samba:

auth sufficient pam_winbind.so
auth required pam_pwdb.so

U

use_first_pass nullok nodelay
account sufficient pam_winbind.so
account required pam_pwdb.so

U

nodelay
session required pam_pwdb.so

U

nodelay
password required pam_pwdb.so

U

shadow md5

Przyłączanie Linuksa

do domeny

Każdy komputer, który ma pracować w do-
menie NT/2000/2003, musi mieć założone
domenowe konto komputera. Możesz je
utworzyć albo korzystając z narzędzi Win-
dows albo bezpośrednio z poziomu Linuksa
(pod warunkiem, że posiadasz uprawnienia
zakładania kont w domenie). Przy zakłada-
niu konta komputera z poziomu Windows
2000 (Active Directory) należy pamiętać, że-
by we właściwościach konta zaznaczyć opcję
„Zezwalaj na korzystanie z tego konta kom-
puterom starszym niż Windows 2000” (w
wersji angielskiej „Allow pre-Windows 2000
computers to use this account”). Z poziomu
Linuksa możesz dodać swój komputer do do-
meny Windows poleceniem:

smbpasswd -j domena -r kontroler

U

-U Administrator

Opcja „domena” oznacza nazwę domeny
(w konwencji NetBIOS), a „kontroler” to
nazwa kontrolera domeny, który ma być
użyty – w przypadku domeny Win NT po-
winien to być kontroler PDC, w przypadku
Active Directory (Windows 2000/2003) nie
ma to znaczenia.

Wykonaj następnie polecenie wbinfo -t na

konsoli znakowej. Powinieneś zobaczyć ko-
munikat „Secret is good” oznaczający, że
komputer jest prawidłowo identyfikowany
w domenie. Uruchom teraz polecenia wbinfo -
u
oraz wbinfo -g. Na konsoli powinieneś zoba-
czyć listę wszystkich kont użytkowników
i grup w domenie. Ostatni test polega na wy-
konaniu próby autoryzacji w domenie. W tym
celu wykonaj polecenie:

wbinfo -a domena+konto_

U

uzytkownika%haslo

Gdzie „domena” to NetBIOS-owa nazwa do-
meny, „konto_uzytkownika” to konto w do-
menie, a „haslo” to oczywiście hasło do tego
konta, np. wbinfo -a LAB+pawel%qweasd.
W odpowiedzi na to polecenie powinieneś
otrzymać serię komunikatów zawierających
słowo „failed” i jeden zawierający słowo suc-
ceeded
. Ta seria komunikatów oznacza, że
Samba przetestowała różne metody autory-
zacji w domenie i przynajmniej jedna z tych
prób powinna zakończyć się powodzeniem.

Jeśli wszystko jest OK, utwórz katalog /ho-

me/DOMENA, gdzie „DOMENA” to nazwa do-
meny w konwencji NetBIOS. Pamiętaj, że musi
być wpisana dużymi literami! W tym katalogu
będą automatycznie tworzone katalogi zawiera-
jące konta użytkowników domenowych. Nieste-
ty nie wszystkie katalogi i skróty na pulpit są po
pierwszym zalogowaniu kopiowane automa-
tycznie, dlatego należy przygotować specjalny
skrypt, który wykona to poprawnie:

#!/bin/sh

if! [ -d „$HOME/Desktop/Personal

U

Files” ]; then

cp -R -u /etc/skel/* „$HOME”

fi

Nadaj mu np. nazwę domena_update, ustaw
prawa dostępu poleceniem chmod a+x i sko-
piuj do katalogu /usr/local/bin. Skrypt ten
należy uruchomić jeden raz – po pierwszym
zalogowaniu z konta domenowego do KDE.

To już wszystko, jesteś gotowy do pracy

w domenie. Uruchom ponownie system
i spróbuj się zalogować na konto domenowe
– ich listę powinieneś zobaczyć w okienku lo-
gowania KDE. Pamiętaj, że jeśli nie uda się
logowanie do domeny, to zawsze pozostaje
możliwość zalogowania na konta istniejące
w Linuksie lokalnie.

97

www

.linux-magazine.pl

Luty 2004

LINUX USER

Linux w sieci Windows

Rysunek 2. Zakładanie konta komputera w Ac-

tive Directory z poziomu przystawki MMC.


Wyszukiwarka

Podobne podstrony:
Linux w domenie Windows
Bootowalny pendrive z systemem Linux
Poczta w systemie Linux
neostrada linux id 316732 Nieznany
quota, !!!Uczelnia, wsti, materialy, II SEM, systemy operacyjne linux
Administracja, Informatyka, Linux, Linux - Podręcznik
r00-0-spr-spr, ## Documents ##, Debian GNU Linux
Linux wykłady SSH
GNU Linux Tools Summary
intro linux
dokumentacja gentoo linux podręcznik gentoo linux M57EBYYUOP66AXNLPFQ2HEZPW72JOO2Z24YBSFI
LSK1 Linux wyklad4
12 Werntges controling KNX from Linux and USB
Konfiguracja serwera Apache, SSL w systemie GNU Linux

więcej podobnych podstron