Integrácia servera s OS Linux do Active Domain
Po vykonaní týchto krokov sa dosiahne plnohodnotná integrácia systému Linux vo Windows Active Domain. Používatelia OS Linux sa budú môcť prihlasovať cez Username a Password ako členovia AD.
Tento návod sme vykonávali s použitím operačných systémov Windows server 2008 R2 a Linux Debian.
Konfigurácia
Chceme používať Windows Active Directory Server 2003, tak aby autentifikoval používateľa, ktorý používa OS Linux. Potrebujeme na to nástroje WindBind a Samba, kvôli prihláseniu UID a GID.
Pri konfigurácií používam tieto príkladne názvy :
· NETBIOS Workgroup: MSWRKGRP
· Domain name: example.com
· Fully qualified hostname: msads.example.com
· User name defined in ADS: jdoe
· User password: jdoe123
· User primary group: winusergrp
· Administrator name: Administrator
· Administrator password: SuperSecret
Kerebros
Konfiguračný súbor sa nachádza : /etc/krb5.conf
Jeho konfiguračný popis by mal vyzerať nasledovne :
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = msads.example.com
}
[domain_realms]
.kerberos.server = EXAMPLE.COM
Kerebros vyžaduje synchronizáciu času medzi počítačmi v doméne. Bez synchronizácie systémového času registrácia do domény neprebehne.
Nswitch
V konfiguračnom súbore /etc/nsswitch.conf nastavíme :
shadow: files winbind
group: files winbind
Môže sa vyžadovať spustenie príkazu ldconfig , aby sa nastavili knižnice Windbind.
Samba
Global sekcia z konfiguračného súboru smb.conf :
workgroup = MSWRKGRP
realm = EXAMPLE.COM
preferred master = no
server string = Samba Server
security = ADS
encrypt passwords = yes
log level = 3
log file = /var/log/samba/%m
max log size = 50
winbind separator = +
winbind use default domain = yes
printcap name = cups
printing = cups
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/false
add machine script = /usr/sbin/useradd -d /var/lib/nobody -g 100 -s /bin/false -M %u
password server = msads.example.com
Prednastavenou hodnotou vo Windbind separator je „-“, je potrebná zmena na „+“.
Ethernet
V konfiguračnom súbore /etc/resolv.conf je potrebné nastaviť ADS server ako jeden z DNS serverov, aby bolo povolené pre Linux nájsť Kerebros a LDAP servre na ADS. Overíme nastavenia s Ifconfig a nsLookup.
Pripojenie do domény
Najprv je potrebný reštart siete a služieb Samba :
# service smb restart
Overíme, či smbd a nmbd bežia s :
Skúšame pripojiť do domény :
Alebo
Na výstupe by sa mala zobraziť správa :
"Joined LINUX1 to realm EXAMPLE.COM"
Následovne by už malo byť možné voliteľné spustenie Windbind Daemona pre monitorovanie chýb :
# tail -f /var/log/messages
# wbinfo -u
# whinfo -g
# getent password
# getent group
S týmito utilitami je možné sledovať mená používateľov, a skupiny v doméne do ktorej sme sa práve prihlásili. Používateľ MSWRKGRP+jdo a skupina MSWRKGRP+winusergrp by mali byť v tomto zozname.
Komunikačný klient Pidgin
Pre čiastočnú kompatibilitu operačného systému linux s kominikačnou platformou Office Communcations Server je vhodný linuxový komunikačný klient Pidgin.
Tonto manuál je určený pre Debian. Pomocou rozšírenia SIPE je možné klienta pripojiť do OCS. Čiastočná kompatibilita s OCS je spôsobená tým, že pidgin slúži iba ako IM klient. Preto po pripojení bude možné realizovať iba komunikáciu pomocou správ a nebude možné využívať audio alebo video telefóniu.
Projekt SIPE
Tento projet vyvíja rozšírenie tretej strany pre komunikátor Pidgin, ktoré implementuje rozšírenú verziu SIP pre nasledujúce produkty:
· Microsoft Office Communications Server 2007/2007 R2 a novší
· Microsoft Live Communications Server 2003/2005
· Reuters Messaging
Poskytuje nasledovné možnosti:
· Písanie správ (Instant Messaging IM)
· Skupinový Chat
· Statusy prítomnosti a kontrolu dostupnosti
· Integrácia do kalendára Exchange 2007/2010
· Detailné informácie o kontaktoch
· Vyhľadávanie kontaktov
· Zašifrovaný prenos súborov
· Kerebros a NTLMv2 autentifikácia
· Prístupný v mnohých jazykoch
Inštalácia komunikátora Pidgin
V závyslosti od voľby distribúcie Debianu komunikátor pidgin nemusí byť v systéme nainštalovaný. Pre nainštalovanie je potrebné otvoriť si terminál (pokiaľ pracujete v grafickom režime) a do príkazového riadku napísať príkaz:
apt-get install pidgin
Ak tento príkaz zlyhá je potrebné pridať source URI
do súboru sources.list, ktorý sa nachádza v /etc/apt/ .
Teraz, keď máme nainštalovaného kilenta môžeme sa pustiť do inštalácie rozšírenia SIPE pomocou príkazu
apt-get install pidgin-sipe
Ak inštalácia zlyhá je možné stiahnuť zdrojové kódy z adresy : http://sourceforge.net/projects/sipe/files/ a následne skompilovať a nainštalovať
Po úspešnej inštalácií otvoríme klienta, ktorý sa nachádza v hlavnej ponuje v Aplications/Internet/Pidgin Instant Messenger. Po otvorení zvolíme accounts/manage accounts/add
Vyplníme polia podľa potreby napríklad:
V karte advanced nastavíme nasledujúce položky:
Po správnom nastavení účtu sa komunikátor úspešne prihlási do OCS a môžeme si začať pridávať kontakty a komunikovať vo firemnom prostredí.