Pystyykö Ubuntusta tekemään Windows Serverin tapaisen AD-hallintakoneen, jolla voisi hallita keskitetysti käyttäjiä ja koneita? Esimerkiksi aika moneen palveluun pääsee kirjautumaan organisaation AD-tunnuksilla.
Ei tarvitse tietysti olla juuri AD, joka taitaa olla Microsoftin keksintö, mutta joku vastaava. Käyttäjienhallinta siis se pääasia.
Ubuntusta Active Directoryn hallintakone
Anonyymi
17
397
Vastaukset
- Anonyymi
Eiköhän. Eikös Linux aikanaan tehty nimenomaan verkkokäyttöä ajatellen.
- Anonyymi
Windows 3.11 oli ensimmäinen millä pääsi verkkoon.
- Anonyymi
OpenLDAP saattaisi olla jotain sinne päin.
https://en.wikipedia.org/wiki/OpenLDAP- Anonyymi
LikewiseOpen mm.
- Anonyymi
Anonyymi kirjoitti:
LikewiseOpen mm.
tarjoaa sujuvan integroinnin Active Directory -ympäristöihin. Näytämme sinulle, miten järjestelmänvalvojaystävällinen todennusjärjestelmä asennetaan ja määritetään.
Samoin avoin todennusjärjestelmä [1] integroi Linux-asiakkaat Active Directory -ympäristöön. Tietysti voit myös määrittää Active Directoryn Samban ja sitä tukevien merkkiryhmien kautta [2] , mutta Samoin-ratkaisu tarjoaa useita etuja helpommalle määritykselle ja hallinnalle.
Samanlainen ilmainen GPL-versio tukee todentamista Active Directory -hakemistoja vastaan, kerberisoitujen palvelujen valtuuttamista ja jopa kertakirjautumista. Tämä saattaa kuulostaa paljon Sambalta, joka tekee samoja asioita; Itse asiassa Samwise-projektin johtaja Gerald Carter on pitkäaikainen jäsen Samban ydinkehittäjien tiimissä. Samoin Open perustuu Samban teokseen, vaikka se lisää monia omia piirteitään.
Valmis-ajo-paketit
Samoin paketteja on saatavana Red Hat-, Novell- ja Canonical-jakelulle, muutamalle kaupalliselle Unix-järjestelmälle ja Mac OS X: lle.
Samoin verkkosivustolla on versio 5.0, vaikka jakelukohtaiset paketit sisältävät version 4, jota käytän tässä artikkelissa. Ubuntun käyttäjät löytävät samoin avoimet ja samoin avoimet gui-paketit Universe-arkistosta. Samoin-paketit sisältävät useita riippuvuuksia - lähinnä Kerberosiin liittyviä. Samoin Open luottaa taustana Kerberosin MIT-versioon [3] . Asennuksen aikana Ubuntuun paketti kehottaa järjestelmänvalvojaa määrittämään Kerberoksen ja hallintapalvelimet
- Anonyymi
Voit toteuttaa tuon haluamasi LDAP:n avulla. En osaa sanoa varmuudella mitä kaikkea löytyy suoraan Ubuntusta, mutta ainakin Debianissa on mm. Open LDAP -palvelin (slapd) ja lisäksi myös 389 directory server (389-ds). LDAP:a on mahdollista käyttää käyttäjien authentikoinnissa eri palveluihin kuten SSH -palvelimelle tai VPN -palvelimelle jne. Lisäksi myös työpöydälle kirjautuminen voidaan hoitaa LDAP:n avulla.
Mitä sitten tulee koneiden hallintaan riippuu siitä mitä haluat tehdä. Jos haluat hallita keskitetysti tietokoneiden asetuksia, niin ainakin Debianissa on useampikin keskitetyn konfiguraatiohallinnan työkalu kuten Puppet, Ansible, Chef ja cfengine. Itse suosittelen Puppetia ja Ansiblea, käytän niitä omien Debian-tietokoneideni keskitettyyn konfiguraationhallintaan. Luulisin, että ainakin osa mainitsemistani työkaluista on Ubuntussakin.
T. miksuh - Anonyymi
LDAP on yksi jota voit kokeilla, tosin tämän tasoinen palvelimen hankinta edellyttää tietotaitoa ja ymmärrystä palvelinten perään, etenkin kuinka paljon tehoa, muistia ja verkkokaistaa tarvitaan.
Ellet ymmärrä mitä eroa on palvelimella ja pelikoneella, en suosittele kasaamaan palvelinta moiseen tarkoitukseen.
Helpoin ratkaisu on vain ostaa suoraan mikä tahansa palvelin jossa on vähintään 8Gb ECC muistia, 3Ghz 4 ydin prosessori (Inteliltä LGA1151 kannan Xeon prossut ovat oikeastaan ainoa varmasti sopivan tehokkaita) ja vähintään 2 ethernet porttia.
Jos välttämättä haluaa kasata koneen, niin Supermicro valmistaa hyviä palvelin emoja, esim: https://www.jimms.fi/fi/Product/Show/141129/mbd-x11ssh-f-o/supermicro-x11ssh-f-matx-emolevy on sopiva emolevy ensi alkuun.
Tuohon vielä muisti joka on vaikeinta löytää, sillä ECC muisteja on puskuroimattomia, puskuroituja ja rekisteröityjä tyyppejä eikä läheskään mikätahansa ole yhteensopiva emolevyn kanssa https://www.kingston.com/finland/en/memory/search?model=93912&devicetype=7&mfr=SMI&line=X11SSH-F <--- tuossa on kaikki kingstonin testatut muistit.
Eli lyhyesti, helpoimmaksi menee kun ostat merkki palvelimen, niissä kaikissa on ECC muisti tuki ja oikeastaan kaikki mitä pieni kotipalvelin labra tarvitsee, hieman hintavahkoa, mutta esim: https://www.verkkokauppa.com/fi/product/19813/nmhrv/HPE-ProLiant-ML30-Gen10-Entry-palvelin?list=OZCYkRirXd5irF60irFgcE riittää hyvin- Anonyymi
Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.
- Anonyymi
öööö... LDAP -palvelin ei kyllä mitään kovin tehokasta konetta todellakaan tarvitse, eikä yletöntä määrää kaistaa, koska sanomat ovat niin lyhyitä, ja käsittelyaika nopeaa... Esittämäsi palvelinvaihtoehto soveltuu enemmäkin SQL -tietokantapalvelimeen, joka tosissaan vaatii enemmän...
- Anonyymi
Anonyymi kirjoitti:
Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.
Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..
- Anonyymi
Anonyymi kirjoitti:
Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..
Siis jos on AIKAA tehdä noin iteroivia sääntösettejä, niin sitten kannattaa mieluummin ottaa käyttöön ihan oikea windows-server -versio, ja tehdä group policyt, niin LDAP -liikenne putoaa lähelle nollaa koska sääntösetti siirtyy kerralla työasemaan itseensä.
- Anonyymi
Ei siistä suoranaisa AD -konetta välttämättä saa, mutta vähintään sen verran että keskitetyn autentikoinnin, kotihakemistot palvelimeen, tiedtostojen ja oheislaitteiden jaot yms., ja dokumenttia tähän on netissä vaikka kuinka paljon!
Ja se kannattaa muistaa että windows home -versiot eivät pysty liittymään tällaiseen toimialueeseen lainkaan, mutta esim. levy- ja oheislaitejaot toimivat SAMBAlla... - Anonyymi
Kirjautumisista koneelle vastaa PAM(libpam-xxx, johon löytyy ainakin LDAP-vaihtoehto). Periaatteessa tuo kai vaihtaa login-ohjelmaa tekemään autentikoinnin oikeasta lähteestä /etc/passwd:n asemesta, mikä on perinteinen tapa tehdä tuo.
PAM-moduleita voi myös ketjuttaa eli jos ldap-serveri on alhaalla, varatienä on esim. jokin käyttäjätunnus paikallisesti jolla koneelle silti pääsee.
Käsittääkseni Ubuntulle voi logata AD-serveriä vasten ts. vastaava moduli löytyy. Sen sijaan winkkari-puolelle en ole asiasta niinkään varma, pystytkö keskittämään autentikoinnin hallinnan Linux-serverille. Luulisin että se vaatii silti AD-serveriä, jolla on yhteys Linux:lla hallinnoitaviin käyttäjätunnuksiin..- Anonyymi
Katsoin Googlella, asiastahan on paljon asiaa.. Jopa suomeksi!
- Anonyymi
Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.
Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan... - Anonyymi
Anonyymi kirjoitti:
Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.
Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan...Et sä voi PAM:a Samballa korvata, koska ne on tarkotettu aivan eri asioihin.
Ketjusta on poistettu 2 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
S-kaupoissa on nykyään ihanaa käydä
Kun niissä ei enää käy satuolentoihin uskovat hihhuIit eivätkä persut. Asiakaskunta on huomattavasti siistiytynyt muutam24114064Riikka runnoo! Uutta velkaa tänä vuonna 17 mrd. euroa
Tirsk. Nyt kyllä hihityttää kuin pientä eläintä. Riikka takoo maailmanennätyksiä tasaiseen tahtiin. " [Riikka] joutuu607177Jens Ihlen (ex Kukka) poika todistaa oikeudessa
10:49 "Välit ovat olemattomat" Minkälainen isäsi ja sinun välinen suhde on tällä hetkellä? "Minulla ei ole minkäännäkö1996852K-kaupassa on mukava käydä, kun ei tarvitse katsella köyhiä
vasemmistolaisia, joista monet myös varastavat. Mielellään maksaa vähän enemmän tuotteista K-kaupassa, jotka ovat paljon1014739Näin tyhmä vasemmistolainen on: "S-kaupoissa on nykyään ihanaa käydä
kun siellä ei ole hihhuleita eikä persuja." Vain tyhmä eli heikkoälyinen vasemmistolainen voi tehdä noin lapsellisia ju744657Kela maksoi etuuksia 17,3 mrd. eur, yritykset sai 10,6 mrd.
Tuohon päälle vietiin vielä palkansaajilta työeläkeloisille 27,5 miljardia euroa. Etenkin Suomen Sosialistiset Yrittäjä244625Suomeen ei kuulu ihmiset jotka ei halua kätellä toisia ihmisiä, koska tämä on vääräuskoinen
Nainen joka ei halunnut kätellä Stubbia on selvästi ääripään muslimi, eli sitä sakkia josta niitä ongelmia koituu. Ulos744337Suomessa on ollut suurtyöttömyyttä ennenkin, ja lääkäriin pääsee nykyäänkin
Täällähän oli jonkun sekopään(vas.) juttu, että ennen ei ollut työttömyyttä ja lääkäriin pääsi. Siihen alkoi tietysti ko754112Kysymys: Kuinka moneen maahan neuvosto-venäjä on hyökännyt
viimeisten 90-vuoden aikana? Ja lähinnä on siis kyse neuvosto-venäjän naapurimaista - kuten Suomesta. Lista on huomatta1003896- 933701