Ubuntusta Active Directoryn hallintakone

Anonyymi

Pystyykö Ubuntusta tekemään Windows Serverin tapaisen AD-hallintakoneen, jolla voisi hallita keskitetysti käyttäjiä ja koneita? Esimerkiksi aika moneen palveluun pääsee kirjautumaan organisaation AD-tunnuksilla.

Ei tarvitse tietysti olla juuri AD, joka taitaa olla Microsoftin keksintö, mutta joku vastaava. Käyttäjienhallinta siis se pääasia.

17

379

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Eiköhän. Eikös Linux aikanaan tehty nimenomaan verkkokäyttöä ajatellen.

      • Anonyymi

        Windows 3.11 oli ensimmäinen millä pääsi verkkoon.

    • Anonyymi
      • Anonyymi

        LikewiseOpen mm.

      • Anonyymi
        Anonyymi kirjoitti:

        LikewiseOpen mm.

        tarjoaa sujuvan integroinnin Active Directory -ympäristöihin. Näytämme sinulle, miten järjestelmänvalvojaystävällinen todennusjärjestelmä asennetaan ja määritetään.

        Samoin avoin todennusjärjestelmä [1] integroi Linux-asiakkaat Active Directory -ympäristöön. Tietysti voit myös määrittää Active Directoryn Samban ja sitä tukevien merkkiryhmien kautta [2] , mutta Samoin-ratkaisu tarjoaa useita etuja helpommalle määritykselle ja hallinnalle.

        Samanlainen ilmainen GPL-versio tukee todentamista Active Directory -hakemistoja vastaan, kerberisoitujen palvelujen valtuuttamista ja jopa kertakirjautumista. Tämä saattaa kuulostaa paljon Sambalta, joka tekee samoja asioita; Itse asiassa Samwise-projektin johtaja Gerald Carter on pitkäaikainen jäsen Samban ydinkehittäjien tiimissä. Samoin Open perustuu Samban teokseen, vaikka se lisää monia omia piirteitään.

        Valmis-ajo-paketit
        Samoin paketteja on saatavana Red Hat-, Novell- ja Canonical-jakelulle, muutamalle kaupalliselle Unix-järjestelmälle ja Mac OS X: lle.

        Samoin verkkosivustolla on versio 5.0, vaikka jakelukohtaiset paketit sisältävät version 4, jota käytän tässä artikkelissa. Ubuntun käyttäjät löytävät samoin avoimet ja samoin avoimet gui-paketit Universe-arkistosta. Samoin-paketit sisältävät useita riippuvuuksia - lähinnä Kerberosiin liittyviä. Samoin Open luottaa taustana Kerberosin MIT-versioon [3] . Asennuksen aikana Ubuntuun paketti kehottaa järjestelmänvalvojaa määrittämään Kerberoksen ja hallintapalvelimet

    • Anonyymi

      Voit toteuttaa tuon haluamasi LDAP:n avulla. En osaa sanoa varmuudella mitä kaikkea löytyy suoraan Ubuntusta, mutta ainakin Debianissa on mm. Open LDAP -palvelin (slapd) ja lisäksi myös 389 directory server (389-ds). LDAP:a on mahdollista käyttää käyttäjien authentikoinnissa eri palveluihin kuten SSH -palvelimelle tai VPN -palvelimelle jne. Lisäksi myös työpöydälle kirjautuminen voidaan hoitaa LDAP:n avulla.

      Mitä sitten tulee koneiden hallintaan riippuu siitä mitä haluat tehdä. Jos haluat hallita keskitetysti tietokoneiden asetuksia, niin ainakin Debianissa on useampikin keskitetyn konfiguraatiohallinnan työkalu kuten Puppet, Ansible, Chef ja cfengine. Itse suosittelen Puppetia ja Ansiblea, käytän niitä omien Debian-tietokoneideni keskitettyyn konfiguraationhallintaan. Luulisin, että ainakin osa mainitsemistani työkaluista on Ubuntussakin.

      T. miksuh

    • Anonyymi

      LDAP on yksi jota voit kokeilla, tosin tämän tasoinen palvelimen hankinta edellyttää tietotaitoa ja ymmärrystä palvelinten perään, etenkin kuinka paljon tehoa, muistia ja verkkokaistaa tarvitaan.

      Ellet ymmärrä mitä eroa on palvelimella ja pelikoneella, en suosittele kasaamaan palvelinta moiseen tarkoitukseen.

      Helpoin ratkaisu on vain ostaa suoraan mikä tahansa palvelin jossa on vähintään 8Gb ECC muistia, 3Ghz 4 ydin prosessori (Inteliltä LGA1151 kannan Xeon prossut ovat oikeastaan ainoa varmasti sopivan tehokkaita) ja vähintään 2 ethernet porttia.

      Jos välttämättä haluaa kasata koneen, niin Supermicro valmistaa hyviä palvelin emoja, esim: https://www.jimms.fi/fi/Product/Show/141129/mbd-x11ssh-f-o/supermicro-x11ssh-f-matx-emolevy on sopiva emolevy ensi alkuun.

      Tuohon vielä muisti joka on vaikeinta löytää, sillä ECC muisteja on puskuroimattomia, puskuroituja ja rekisteröityjä tyyppejä eikä läheskään mikätahansa ole yhteensopiva emolevyn kanssa https://www.kingston.com/finland/en/memory/search?model=93912&devicetype=7&mfr=SMI&line=X11SSH-F <--- tuossa on kaikki kingstonin testatut muistit.

      Eli lyhyesti, helpoimmaksi menee kun ostat merkki palvelimen, niissä kaikissa on ECC muisti tuki ja oikeastaan kaikki mitä pieni kotipalvelin labra tarvitsee, hieman hintavahkoa, mutta esim: https://www.verkkokauppa.com/fi/product/19813/nmhrv/HPE-ProLiant-ML30-Gen10-Entry-palvelin?list=OZCYkRirXd5irF60irFgcE riittää hyvin

      • Anonyymi

        Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.

      • Anonyymi

        öööö... LDAP -palvelin ei kyllä mitään kovin tehokasta konetta todellakaan tarvitse, eikä yletöntä määrää kaistaa, koska sanomat ovat niin lyhyitä, ja käsittelyaika nopeaa... Esittämäsi palvelinvaihtoehto soveltuu enemmäkin SQL -tietokantapalvelimeen, joka tosissaan vaatii enemmän...

      • Anonyymi
        Anonyymi kirjoitti:

        Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.

        Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..

      • Anonyymi
        Anonyymi kirjoitti:

        Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..

        Siis jos on AIKAA tehdä noin iteroivia sääntösettejä, niin sitten kannattaa mieluummin ottaa käyttöön ihan oikea windows-server -versio, ja tehdä group policyt, niin LDAP -liikenne putoaa lähelle nollaa koska sääntösetti siirtyy kerralla työasemaan itseensä.

    • Anonyymi

      Ei siistä suoranaisa AD -konetta välttämättä saa, mutta vähintään sen verran että keskitetyn autentikoinnin, kotihakemistot palvelimeen, tiedtostojen ja oheislaitteiden jaot yms., ja dokumenttia tähän on netissä vaikka kuinka paljon!

      Ja se kannattaa muistaa että windows home -versiot eivät pysty liittymään tällaiseen toimialueeseen lainkaan, mutta esim. levy- ja oheislaitejaot toimivat SAMBAlla...

    • Anonyymi

      Kirjautumisista koneelle vastaa PAM(libpam-xxx, johon löytyy ainakin LDAP-vaihtoehto). Periaatteessa tuo kai vaihtaa login-ohjelmaa tekemään autentikoinnin oikeasta lähteestä /etc/passwd:n asemesta, mikä on perinteinen tapa tehdä tuo.
      PAM-moduleita voi myös ketjuttaa eli jos ldap-serveri on alhaalla, varatienä on esim. jokin käyttäjätunnus paikallisesti jolla koneelle silti pääsee.
      Käsittääkseni Ubuntulle voi logata AD-serveriä vasten ts. vastaava moduli löytyy. Sen sijaan winkkari-puolelle en ole asiasta niinkään varma, pystytkö keskittämään autentikoinnin hallinnan Linux-serverille. Luulisin että se vaatii silti AD-serveriä, jolla on yhteys Linux:lla hallinnoitaviin käyttäjätunnuksiin..

      • Anonyymi

        Katsoin Googlella, asiastahan on paljon asiaa.. Jopa suomeksi!

      • Anonyymi

        Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.

        Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan...

      • Anonyymi
        Anonyymi kirjoitti:

        Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.

        Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan...

        Et sä voi PAM:a Samballa korvata, koska ne on tarkotettu aivan eri asioihin.

    Ketjusta on poistettu 2 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Sanna Marin kysyi hämmästyneenä: Onko Suomessa jäänmurtajia?

      Nettilehden toimittaja kysyi Sanna Marinilta suoraan, että sovittiinko nuo jäänmurtajien kaupat jo 2019, jolloin Marin k
      Maailman menoa
      152
      4945

    2. Voiko normaali ihminen ryhtyä vasemmistolaiseksi?

      Tätä jäin pohdiskelemaan.
      Maailman menoa
      190
      3997

    3. SDP haluaa 40 000 nettomaahanmuuttajaa

      SDP:n Suunnanmuutos-vaihtoehtobudjetissa, käy ilmi, että demarit itse asiassa vaativat räjähdysmäistä ”työperäisen” maah
      Maailman menoa
      124
      3647

    4. Mikä tuota vasemmistolaisista jankkaavaa vaivaa?

      Pahasti on ihon alle, siis korvien väliin, päässeet kummittelemaan. Ei ole terveen ihmisen merkki jankata yhdestä asia
      Maailman menoa
      46
      2941

    5. Orpo: Velkajarrua vastustavaa puoluetta vaikea ajatella hallitukseen

      No Minja Koskelan kommunistipuolue jäi ulos tuosta. Kaikki eduskuntapuolueet vasemmistoliittoa lukuun ottamatta sopivat
      Maailman menoa
      31
      2263

    6. Mitä ajattelit kun näit

      kaivattusi ensimmäisen kerran? xd
      Ikävä
      139
      1904

    7. Nyt meni lopulliset lämmöt.

      Alan käyttäytymään yhtä kylmästi miehiä kohtaan kuin mua kohtaan on käyttäydytty ja vain käytetty viimeiset pari vuotta
      Sinkut
      44
      1707

    8. Hienoa! Eduskunta luopui käteisen käytöstä

      Nyt tuo sama muutos pitää saada myös muuhun yhteiskuntaan. Käteistähän ei tarvitse tänä päivänä enää kuin rikolliset.
      Maailman menoa
      33
      1449

    9. Onko erityinen paikka jossa haluaisit nyt olla

      Onko joku spesiaali lempipaikka missä mieluiten olisit?
      Ikävä
      63
      1414

    10. Orpo loukkaantui fasismiin viittaavasta sanavalinnasta

      Mutta miksi loukkaantui? Orpohan on tehnyt yhteistyötä fasistien kanssa jo vuonna 2019, siis jo neljä vuotta ennen loukk
      Maailman menoa
      26
      1309
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt