Ubuntusta Active Directoryn hallintakone

Anonyymi

Pystyykö Ubuntusta tekemään Windows Serverin tapaisen AD-hallintakoneen, jolla voisi hallita keskitetysti käyttäjiä ja koneita? Esimerkiksi aika moneen palveluun pääsee kirjautumaan organisaation AD-tunnuksilla.

Ei tarvitse tietysti olla juuri AD, joka taitaa olla Microsoftin keksintö, mutta joku vastaava. Käyttäjienhallinta siis se pääasia.

17

403

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • Anonyymi

      Eiköhän. Eikös Linux aikanaan tehty nimenomaan verkkokäyttöä ajatellen.

      • Anonyymi

        Windows 3.11 oli ensimmäinen millä pääsi verkkoon.

    • Anonyymi
      • Anonyymi

        LikewiseOpen mm.

      • Anonyymi
        Anonyymi kirjoitti:

        LikewiseOpen mm.

        tarjoaa sujuvan integroinnin Active Directory -ympäristöihin. Näytämme sinulle, miten järjestelmänvalvojaystävällinen todennusjärjestelmä asennetaan ja määritetään.

        Samoin avoin todennusjärjestelmä [1] integroi Linux-asiakkaat Active Directory -ympäristöön. Tietysti voit myös määrittää Active Directoryn Samban ja sitä tukevien merkkiryhmien kautta [2] , mutta Samoin-ratkaisu tarjoaa useita etuja helpommalle määritykselle ja hallinnalle.

        Samanlainen ilmainen GPL-versio tukee todentamista Active Directory -hakemistoja vastaan, kerberisoitujen palvelujen valtuuttamista ja jopa kertakirjautumista. Tämä saattaa kuulostaa paljon Sambalta, joka tekee samoja asioita; Itse asiassa Samwise-projektin johtaja Gerald Carter on pitkäaikainen jäsen Samban ydinkehittäjien tiimissä. Samoin Open perustuu Samban teokseen, vaikka se lisää monia omia piirteitään.

        Valmis-ajo-paketit
        Samoin paketteja on saatavana Red Hat-, Novell- ja Canonical-jakelulle, muutamalle kaupalliselle Unix-järjestelmälle ja Mac OS X: lle.

        Samoin verkkosivustolla on versio 5.0, vaikka jakelukohtaiset paketit sisältävät version 4, jota käytän tässä artikkelissa. Ubuntun käyttäjät löytävät samoin avoimet ja samoin avoimet gui-paketit Universe-arkistosta. Samoin-paketit sisältävät useita riippuvuuksia - lähinnä Kerberosiin liittyviä. Samoin Open luottaa taustana Kerberosin MIT-versioon [3] . Asennuksen aikana Ubuntuun paketti kehottaa järjestelmänvalvojaa määrittämään Kerberoksen ja hallintapalvelimet

    • Anonyymi

      Voit toteuttaa tuon haluamasi LDAP:n avulla. En osaa sanoa varmuudella mitä kaikkea löytyy suoraan Ubuntusta, mutta ainakin Debianissa on mm. Open LDAP -palvelin (slapd) ja lisäksi myös 389 directory server (389-ds). LDAP:a on mahdollista käyttää käyttäjien authentikoinnissa eri palveluihin kuten SSH -palvelimelle tai VPN -palvelimelle jne. Lisäksi myös työpöydälle kirjautuminen voidaan hoitaa LDAP:n avulla.

      Mitä sitten tulee koneiden hallintaan riippuu siitä mitä haluat tehdä. Jos haluat hallita keskitetysti tietokoneiden asetuksia, niin ainakin Debianissa on useampikin keskitetyn konfiguraatiohallinnan työkalu kuten Puppet, Ansible, Chef ja cfengine. Itse suosittelen Puppetia ja Ansiblea, käytän niitä omien Debian-tietokoneideni keskitettyyn konfiguraationhallintaan. Luulisin, että ainakin osa mainitsemistani työkaluista on Ubuntussakin.

      T. miksuh

    • Anonyymi

      LDAP on yksi jota voit kokeilla, tosin tämän tasoinen palvelimen hankinta edellyttää tietotaitoa ja ymmärrystä palvelinten perään, etenkin kuinka paljon tehoa, muistia ja verkkokaistaa tarvitaan.

      Ellet ymmärrä mitä eroa on palvelimella ja pelikoneella, en suosittele kasaamaan palvelinta moiseen tarkoitukseen.

      Helpoin ratkaisu on vain ostaa suoraan mikä tahansa palvelin jossa on vähintään 8Gb ECC muistia, 3Ghz 4 ydin prosessori (Inteliltä LGA1151 kannan Xeon prossut ovat oikeastaan ainoa varmasti sopivan tehokkaita) ja vähintään 2 ethernet porttia.

      Jos välttämättä haluaa kasata koneen, niin Supermicro valmistaa hyviä palvelin emoja, esim: https://www.jimms.fi/fi/Product/Show/141129/mbd-x11ssh-f-o/supermicro-x11ssh-f-matx-emolevy on sopiva emolevy ensi alkuun.

      Tuohon vielä muisti joka on vaikeinta löytää, sillä ECC muisteja on puskuroimattomia, puskuroituja ja rekisteröityjä tyyppejä eikä läheskään mikätahansa ole yhteensopiva emolevyn kanssa https://www.kingston.com/finland/en/memory/search?model=93912&devicetype=7&mfr=SMI&line=X11SSH-F <--- tuossa on kaikki kingstonin testatut muistit.

      Eli lyhyesti, helpoimmaksi menee kun ostat merkki palvelimen, niissä kaikissa on ECC muisti tuki ja oikeastaan kaikki mitä pieni kotipalvelin labra tarvitsee, hieman hintavahkoa, mutta esim: https://www.verkkokauppa.com/fi/product/19813/nmhrv/HPE-ProLiant-ML30-Gen10-Entry-palvelin?list=OZCYkRirXd5irF60irFgcE riittää hyvin

      • Anonyymi

        Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.

      • Anonyymi

        öööö... LDAP -palvelin ei kyllä mitään kovin tehokasta konetta todellakaan tarvitse, eikä yletöntä määrää kaistaa, koska sanomat ovat niin lyhyitä, ja käsittelyaika nopeaa... Esittämäsi palvelinvaihtoehto soveltuu enemmäkin SQL -tietokantapalvelimeen, joka tosissaan vaatii enemmän...

      • Anonyymi
        Anonyymi kirjoitti:

        Höpö höpö. Tietty, jos on kasaamassa jollekin suuryritykselle palvelinta niin sitten asia on eri ja sitten sanomasi voi päteä. Mutta jos ollaan kasaamassa palelintakotikäyttöön tai pienyritykselle, niin ihan tavallinen PC riittää paremmin kuin hyvin. Ei ole mitään tarvetta hankkia kotiin mitään erikoistunutta palvelinkonetta kun oman palvelimen voi pystyttää ihan tavallisen PC:n avulla. Eli jos nurkissa lojuu käyttämätön pöytäkone niin siitä saa oikein mainiosti oman kotipalvelimen. Sama pätee pienyritykseen, turha maksaa itseään kipeäksi jostain huippupalelinraudasta kun tavallinen tehokas PC riittää oikein hyvin. Isommassa firmassa tosiaan asia on toinen, sillon on syytä panostaa palelinkoneisiin. Kukaan tuskin mitään datakeskusta pystyttää perus PC -koneilla, mutta kotipalvelimeen ja pienyrityksen tarpeisiin se on aivan riittävä. Koneeseen sitten Linux, esimerkiksi Debianista löytyy kaikki tarvittava. Itselläni on kotona Debiania ajavia kotipalvelimia pari kappaletta ja niillä on myös tuo mainitsemasi LDAP -palvelin.

        Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..

      • Anonyymi
        Anonyymi kirjoitti:

        Tuo yllä oleva tarkoittanee, että autentikoinnin lisäksi pystytään tekemään autorisointia eli vaikkapa terminaaliin käsky-tasolla määrittämään, mitä käskyjä käyttäjä saa ajaa(ja millä parametreillä jopa). Silloin LDAP-liikenne kasvaa jo merkittävästi. Samalla tavalla voidaan säätää, mitä ohjelmia käyttäjä saa käynnistää työkoneellaan..

        Siis jos on AIKAA tehdä noin iteroivia sääntösettejä, niin sitten kannattaa mieluummin ottaa käyttöön ihan oikea windows-server -versio, ja tehdä group policyt, niin LDAP -liikenne putoaa lähelle nollaa koska sääntösetti siirtyy kerralla työasemaan itseensä.

    • Anonyymi

      Ei siistä suoranaisa AD -konetta välttämättä saa, mutta vähintään sen verran että keskitetyn autentikoinnin, kotihakemistot palvelimeen, tiedtostojen ja oheislaitteiden jaot yms., ja dokumenttia tähän on netissä vaikka kuinka paljon!

      Ja se kannattaa muistaa että windows home -versiot eivät pysty liittymään tällaiseen toimialueeseen lainkaan, mutta esim. levy- ja oheislaitejaot toimivat SAMBAlla...

    • Anonyymi

      Kirjautumisista koneelle vastaa PAM(libpam-xxx, johon löytyy ainakin LDAP-vaihtoehto). Periaatteessa tuo kai vaihtaa login-ohjelmaa tekemään autentikoinnin oikeasta lähteestä /etc/passwd:n asemesta, mikä on perinteinen tapa tehdä tuo.
      PAM-moduleita voi myös ketjuttaa eli jos ldap-serveri on alhaalla, varatienä on esim. jokin käyttäjätunnus paikallisesti jolla koneelle silti pääsee.
      Käsittääkseni Ubuntulle voi logata AD-serveriä vasten ts. vastaava moduli löytyy. Sen sijaan winkkari-puolelle en ole asiasta niinkään varma, pystytkö keskittämään autentikoinnin hallinnan Linux-serverille. Luulisin että se vaatii silti AD-serveriä, jolla on yhteys Linux:lla hallinnoitaviin käyttäjätunnuksiin..

      • Anonyymi

        Katsoin Googlella, asiastahan on paljon asiaa.. Jopa suomeksi!

      • Anonyymi

        Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.

        Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan...

      • Anonyymi
        Anonyymi kirjoitti:

        Linuxissa voi myös käyttää SAMBAa tuottamaan AD -palveluita windows-työasemille; ei siinä välttämättä PAMia tarvita.

        Toinen vaihtoehto olisi FreeIPA, joka tekee nousuaan...

        Et sä voi PAM:a Samballa korvata, koska ne on tarkotettu aivan eri asioihin.

    Ketjusta on poistettu 2 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. 6 kW saunan lämmityksestä kohta 10 euron lisämaksu / kerta

      Kokoomuslainen sähköyhtiöiden hallitsema Energiavirasto ehdottaa 5 kW:n rajaa, jonka ylittämisestä tulee lisämaksu. Tark
      Maailman menoa
      147
      5514

    2. Minja jytkyttää vas.liiton kannatusta ylöspäin

      Alkaa raavaat duunarimiehetkin palaamaan vasemmistoliiton kannattajiksi. Eduskunnassahan on vain kaksi työntekijöiden p
      Maailman menoa
      136
      3598

    3. "Mitä sä nainen tuot sitten pöytään" ?

      Jos mies provaidaa ja suojelee... Pitääkö miesten kysyä tuollaisia?
      Ikävä
      126
      3339

    4. Ekologinen kommunismi tulee voittamaan fossiilikapitalismin

      Kiina on mahtitekijä uusiutuvien energialähteiden kehityksessä, ja Trump osoitus viimeisestä öljyn perään itkemisestä, m
      Maailman menoa
      36
      3213

    5. Mies, kerro minulle vielä jotakin aivan uniikkia

      ja ainutlaatuista minkä vain me kaksi voisimme ymmärtää jos olemme sen kokeneet ja eläneet, jotta ihan varmasti tietäisi
      Tunteet
      43
      2714

    6. Oikeistopuolueiden kannatus vain 37,8 %, vasemmiston 43,0 %

      Keskustaan jää 17,4 prosenttia ja loput ovat sitten mitä ovat. Mutta selvästikin Suomen kansa on vasemmalle kallellaan.
      Maailman menoa
      51
      2304

    7. Tiedän ettei

      Meistä mitään tule. Toinen oli sinulle tärkeämpi
      Ikävä
      24
      2240

    8. Hyviäkin uutisia tulossa, hallinto-oikeus asettaa toimeenpanokieltoon

      Hyvinvointitalon työmaa pysähtyy. Rillankivi+energia ja vesi kytkyrahanpesu stoppaa. Tytäryhtiöiden hallitusjäsenet+kon
      Pyhäjärvi
      229
      2176

    9. prööt prööt nyt ottaa vihervassaria pattiin!

      Korvatkaa R kirjaimet L kirjaimilla ja sanokaa ääneen "Jari Kurri etsii pakoputkiautossaan jarruja".
      Maailman menoa
      11
      1924

    10. Gallup: Mikä on ollut mielestäsi paras tv-sarja ikinä?

      Gallup: Mikä on ollut mielestäsi paras tv-sarja ikinä? Onko se joku suomalainen viihdepläjäys, brittirikossarja, amerikk
      Tv-sarjat
      93
      1826
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt