wtorek, 12 listopada 2013

Tworzenie profili wędrujących z poziomu systemu Windows 7

W tym artykule opiszę jak przygotować kontroler domeny do obsługi profili wędrujących (z ang. "roaming profiles") oraz jak takie profile tworzyć za pomocą narzędzi administracyjnych systemu Windows 7. Na końcu wspomnę też o problemie niekompatybilności profili wędrujących między różnymi systemami Windows.

Pierwsza część pracy będzie wyglądać tak samo, jak w artykule http://jedenserwer.blogspot.com/2013/03/samba4-jako-podstawowy-kontroler-domeny_5493.html. Zatem logujemy się na serwer i kolejno:

1. Tworzymy folder profili domeny:

# mkdir /usr/local/samba/var/profiles

2. Edytujemy plik /usr/local/samba/etc/smb.conf według wzoru:

# mcedit /usr/local/samba/etc/smb.conf

3. Restartujemy Sambę:

# pkill samba
# /usr/local/samba/sbin/samba
# kinit administrator
# /usr/local/samba/bin/smbclient –L localhost –U%

Folder 'profiles' powinien pojawić się na liście:


Kolejne kroki będą wykonywane na komputerze klienckim.


Będąc zalogowanym jako administrator domeny wchodzimy w menu Start i w polu wyszukiwania wpisujemy \\nazwa_serwera i wchodzimy na serwer:


Klikamy prawym przyciskiem myszy na katalog profiles, wybieramy Właściwości i otwieramy kartę Zabezpieczenia:


Klikamy Edytuj a następnie Dodaj..., wpisujemy domain users i klikamy Sprawdź nazwy. Wpisane przez nas wyrażenie powinno zostać podkreślone:


Jeśli zamiast tego pojawi się nowe okno, trzeba je anulować i sprawdzić poprawność wpisanej nazwy.
Klikamy OK. W uprawnieniach zaznaczmy Modyfikacja, automatycznie zostanie dodany Zapis (i tak ma być). Pozostałe ustawienia zostawiamy domyślne:


Konto nieznane, które jest na liście można usunąć. Klikamy Zastosuj, potwierdzamy komunikat, który się pojawi i OK.

Teraz możemy przejść do tworzenia profili wędrujących. Wchodzimy w menu Start, Wszystkie programy, Narzędzia administracyjne, Użytkownicy i komputery usługi Active Directory. Rozwijamy zasoby domeny i klikamy na katalog Users:


Klikamy prawym przyciskiem myszy, wybieramy Nowy > Użytkownik. Wypełniamy według wzoru:


Klikamy Dalej. W kolejnym okienku ustalamy hasło dla usera. Klikamy Dalej i Zakończ. Profil został utworzony:


Klikamy na niego prawym przyciskiem myszy, wybieramy Właściwości, otwieramy kartę Profil i w polu Ścieżka profilu: dodajemy wpis zgodnie ze schematem:
\\nazwa_serwera.nazwa_domeny\katalog_z_profilami\%USERNAME%
W moim przypadku będzie to wyglądało tak:


Klikamy Zastosuj (%USERNAME% powinno zmienić się w nazwę użytkownika) i OK.

Aby sprawdzić czy profil działa musimy się na niego zalogować. Zatem wylogowujemy się z konta administratora, Wciskamy Ctrl+Alt+Delete, klikamy Przełącz użytkownika i wpisujemy zgodnie ze wzorem:


Jeśli wszystkie kroki zostały wykonane poprawnie powinniśmy się bez problemów zalogować do systemu. W katalogu profiles w zasobach serwera powinien się pojawić folder naszego profilu:


Pewnie niektórych zaskoczy fakt, że po nazwie profilu w folderze pojawia się końcówka ".V2", której nie było w przypadku systemu Windows XP. Bierze się on stąd, że starsze systemy (Windows 2000, XP) używały innego typu kont użytkowników niż systemy Vista, 7, 8. Katalog z końcówką V2 jest tworzony dla użytkowników nowszych systemów. Jeśli użytkownik zaloguje się w systemie Windows XP, zostanie utworzony nowy folder, zawierający w nazwie tylko nazwę użytkownika. De facto powstaną dwa różne profile, które bez dodatkowych operacji nie będą współpracować. Trochę więcej na ten temat można przeczytać tu (klik). A tu (klik) znalazłem instrukcję, jak sprzęgnąć profile starego typu z nowymi. Niewykluczone, że będzie post na ten temat ;)

Po przelogowaniu, nasz folder zapełni się danymi użytkownika:


I to by było na tyle :)

piątek, 8 listopada 2013

Dodanie do domeny komputera z systemem Windows 7 i instalacja narzędzi administracyjnych

Kilka postów temu opisałem jak dodać do domeny komputer z Windows XP. Jednak ten system odchodzi powoli do lamusa więc poniżej przedstawiam w jaki sposób podłączyć do domeny Windows 7. Zakładam, że czytelnik posiada poprawnie skonfigurowany kontroler domeny Samba4, najlepiej wg. tego przewodnika: http://jedenserwer.blogspot.com/2013/09/active-directory-na-linuxie-kompletny.html. W następnym artykule opiszę jak tworzyć profile wędrujące (z ang. "roaming profiles") z poziomu Windows 7.

Pierwsza czynność jaką należy wykonać przed podłączeniem komputera do domeny jest ustawienie adresu serwera DNS czyli IP komputera będącego kontrolerem domeny. W większych środowiskach warto ten adres ustawić na routerze zarządzającym siecią. Jeśli zarządzamy małą siecią, możemy ustawić adres DNS na każdym komputerze osobno. W tym celu wchodzimy w Panel Sterowania, w widoku ikon Centrum sieci i udostępniania a następnie w menu po lewej Zmień ustawienia karty sieciowej:


Klikamy prawym przyciskiem myszy na ikonę Połączenia lokalnego i wybieramy Właściwości. Klikamy Protokół internetowy w wersji 4 (TCP/IPv4) i znów Właściwości. Zaznaczmy opcję Użyj następujących adresów serwerów DNS: i wpisujemy adres IP serwera Samba4:


Klikamy Ok i Zamknij.

Gdy DNS jest ustawiony możemy dodać komputer do domeny. Otwieramy menu Start i klikamy prawym przyciskiem myszy na Komputer. Wybieramy Właściwości. Z menu po lewej stronie wybieramy Zaawansowane ustawienia systemu. Wchodzimy w zakładkę Nazwa komputera i klikamy Zmień:


W obszarze Członkostwo zaznaczamy Domena i wpisujemy nazwę naszej domeny:



Jeśli potrzebujemy, możemy także zmienić nazwę komputera. Klikamy OK. Komputer wyświetli okno logowania, w które należy wpisać login i hasło administratora domeny:


Klikamy OK. Po chwili powinniśmy zobaczyć przyprawiający o radość komunikat :):


Klikamy OK. Komputer poinformuje o potrzebie wykonania restartu, co też czynimy. Po ponownym uruchomieniu powinniśmy zobaczyć nowy ekran logowania:


a następnie:


Klikamy Przełącz użytkownika a następnie Inny użytkownik. Nazwę użytkownika i hasło wpisujemy w następujący sposób:


Za pierwszym razem musimy zalogować się kontem administratora domeny.

Po zalogowaniu możemy otworzyć Centrum sieci i udostępniania:


Widzimy, że nasz komputer jest w domenie. Po lewej stronie klikamy Zmień zaawansowane ustawienia udostępniania. W profilu domeny zaznaczamy Włącz odnajdywanie sieci oraz Włącz udostępnianie plików i drukarek:


Zapisujemy zmiany. Teraz możemy sprawdzić, czy z kontrolera domeny możemy spingować nasz komputer. W konsoli wpisujemy polecenie:

# ping pc1 -c 6

gdzie pc1 to nazwa komputera. Serwer prześle 6 pakietów. Wynik powinien być następujący:


W kolejnym kroku zainstalujemy Narzędzia administracji zdalnej serwera, aby z poziomu komputera z Windows móc zarządzać domeną. Odpowiedni plik pobieramy ze strony http://www.microsoft.com/pl-pl/download/details.aspx?id=7887. Przed instalacją należy się upewnić, że Windows 7 na naszym komputerze jest wyposażony w dodatek Service Pack 1. Po zainstalowaniu dodatku należy go jeszcze włączyć. W tym celu wchodzimy w Panel sterowania => Programy i funkcje => Włącz lub wyłącz funkcje systemu Windows i zaznaczamy odpowiednie opcje przy Narzędziach zdalnej administracji serwera:


Po tej operacji w menu Start pojawi się folder Narzędzia administracyjne, z którego można uruchomić m. in. przystawkę Użytkownicy i komputery usługi Active Directory:


Jeśli wszystkie kroki wykonaliśmy poprawnie to powinniśmy bez problemu móc przeglądać zasoby naszej domeny.

wtorek, 17 września 2013

Kontroler domeny AD - serwer zamiast routera

Kontroler domeny AD - serwer zamiast routera W poprzednim poście pokazałem jak skonfigurować kontroler domeny Active Directory w systemie Linux dla sieci zarządzanej przez oddzielny router. W tym artykule opiszę proces instalacji AD-Linux dla sieci, w której rolę routera przejmie serwer z kontrolerem Samba4.

Konfiguracja przedstawiona na grafice przydaje się gdy chcemy oddzielić sieć z domeną od innych podsieci lub gdy chcemy zrezygnować z dodatkowego routera na rzecz usług oferowanych przez system Linux. W tej sytuacji kontroler domeny staje się także  serwerem DHCP, bramą dla podsieci a w razie potrzeby także serwerem VPN. Serwer musi posiadać dwie karty sieciowe.

Konfigurację rozpoczynamy od zapoznania się z tym artykułem. Dzięki niemu poprawnie skonfigurujemy serwer DHCP oraz udostępnimy łącze internetowe dla sieci za serwerem.

Przed instalacją kontrolera domeny musimy jeszcze zmienić nieco konfigurację serwera. Najpierw edytujemy plik /etc/dhcp/dhclient.conf i zmieniamy opcje tak ja na rysunku:


W pliku /etc/dhcp/dhcpd.conf zmieniamy adres serwera DNS:


Następnie zmieniamy jedną opcję w pliku /etc/default/bind9:


Dzięki tym zmianom nie musimy później konfigurować pliku /etc/resolv.conf.

Restartujemy serwer poleceniem:

# shutdown -r now

Po ponownym zalogowaniu możemy przejść do ścisłej instalacji i konfiguracji kontrolera domeny Samba4, opisanej tutaj (należy pominąć pkt. 7.).

Po pomyślnym promowaniu domeny musimy wprowadzić jedną zmianę do pliku /usr/local/samba/etc/smb.conf:


Tym zapisem informujemy kontroler domeny, przez który interfejs sieciowy będzie przebiegać komunikacja w domenie.

W przypadku ewentualnych niejasności proszę o komentarz lub wiadomość.


Active Directory na Linuxie - kompletny tutorial, zaktualizowany i uzupełniony

Active Directory na Linuxie

Wstęp

Od pojawienia się poprzedniej wersji poradnika instalacji kontrolera domeny AD-Linux na moim blogu minęło już kilka miesięcy. W tym czasie trochę się zmieniło. Przede wszystkim pojawiła się nowa stabilna wersja Debiana - 7.0 "Wheezy" (oficjalnie wydana 4.05. br.) oraz jej aktualizacja - 7.1 (15.06 br.). Wydanych zostało też kilka nowszych wersji serwera Samba4. Najnowsze wydanie stabilne to 4.0.9 z 20 sierpnia 2013, a na 1 października jest już planowane wydanie wersji 4.0.10. Nowe wersje oprogramowania dają nowe możliwości, dlatego postanowiłem zaktualizować poradnik.

Najważniejszą zmianą w stosunku do poprzedniej wersji jest użycie wbudowanego w system operacyjny serwera DNS. Bind9 w Debianie 6.0.x nie współpracował z serwerem Samba4. Konieczne było skompilowanie nowszej wersji DNS lub instalacja z repozytoriów testowych (wówczas właśnie „Wheezy”). Użyta wersja w najnowszym Debianie ma oznaczenie 9.8.4-rpz2+r1005.12-P1, jest instalowana od razu z systemem operacyjnym a jej konfiguracja jest inna niż opisywana wcześniej.

(Niniejszy artykuł został zaktualizowany, ponieważ najnowszym wydaniem Debiana jest już wersja 8 Jessie, a najnowsza Samba to już wersja 4.3.3 (styczeń 2016). W odpowiednich miejscach pojawi się tekst w nawiasach lub czerwone wyróżnienie.)

W informacjach wstępnych trzeba jeszcze podać, że zarówno serwer będący kontrolerem domeny jak i komputery klienckie w przedstawionym artykule są połączone w sieć w topologii gwiazdy. Siecią zarządza oddzielny router, do niego podłączony jest switch a do przełącznika wszystkie komputery. Sytuację przedstawia poniższa grafika:
W tej konfiguracji router służy jako brama do Internetu i serwer DHCP. Przełącznik jest niekonfigurowalny.

W oddzielnym artykule przedstawiam konfigurację, w której serwer Samba4 zastępuje router.

Zarówno poprzednia jak i ta wersja tutoriala powstały w oparciu o testy przeprowadzone na maszynach wirtualnych, konfigurowanych w środowisku Oracle VirtualBox.

Przewodnik mojego autorstwa jest wynikiem wielu dni testów i poszukiwań, dlatego podobnie jak poprzednio podaję źródła, z których korzystałem:



Na koniec wstępu mam prośbę do wszystkich, którzy korzystali lub będą korzystać z mojego przewodnika, aby w komentarzach dzielili się efektami swojej pracy. Będę bardzo wdzięczny za informacje czy ktoś wdrożył domenę Active Directory na serwerze linuxowym w firmie lub instytucji. Tutorial jest dostępny dla wszystkich za darmo, więc niech informacja o wdrożeniu z sukcesem będzie formą "wynagrodzenia" dla autora przewodnika ;)

I. Instalacja systemu operacyjnego

Debian 7.1 zostanie zainstalowany poprzez instalację sieciową. Należy ściągnąć obraz odpowiedniej płyty z adresu http://www.debian.org/distrib/netinst, wypalić, włożyć płytę do napędu i uruchomić ponownie komputer. Ekran powitalny instalatora wygląda nieco bardziej profesjonalnie niż w wersji 6:


Wybieramy pierwszą opcję. Następnie instalator zapyta o język instalacji. Wybieramy Polish – Polski, kraj – Polska, układ klawiatury – polski (jeśli ktoś chce, oczywiście może ustawić inaczej). Kolejne kroki instalatora to wykrywanie podstawowego sprzętu i ustanowienie połączenia sieciowego. Nie wymaga to jakiejkolwiek interwencji ze strony użytkownika. Następnie instalator zapyta o nazwę dla naszego serwera i domeny:



W kolejnym kroku instalator pyta o hasło użytkownika root. Należy wpisać je dwukrotnie. Gdy instalator zapyta o „Pełną nazwę nowego użytkownika” to pierwsze pole możemy zostawić puste:


a w kolejnym wpisać nazwę używaną do logowania w systemie:


W kolejnych dwóch polach trzeba podać hasło nowego użytkownika.

Kolejnym krokiem jest podział dysku. Wybieramy opcje domyślne instalatora a na końcu zatwierdzamy i zapisujemy zmiany. Następnie instalator działa dalej bez potrzeby naszej interwencji. W kolejnym kroku musimy wybrać serwer lustrzany, ale tylko zatwierdzamy domyślne opcje instalatora. Gdy system zapyta czy chcemy wziąć udział w konkursie na najpopularniejszy pakiet, odpowiadamy Nie.

Przedostatnim krokiem jest wybór oprogramowania. Wystarczy, że z listy wybierzemy tylko Serwer DNS. Jeżeli po zakończeniu konfiguracji będziemy chcieli zostawić serwer gdzieś w kącie bez peryferiów, to do zarządzania przyda się też Serwer SSH (w Debianie w wersji 8 Jessie nie ma opcji Serwer DNS, doinstalujemy to później).


Na końcu potwierdzamy instalację programu GRUB w rekordzie rozruchowym. Po chwili system operacyjny jest zainstalowany. Po restarcie logujmy się na konto root.

II. Wstępna konfiguracja systemu


1. Instalacja Midnight Commander i zmiana domyślnego edytora


Na początku zainstalujemy pakiet Midnight Commander, dzięki czemu dostaniemy menadżer plików oraz wygodny edytor tekstowy. W tym celu wykonujemy polecenie:

# apt-get install mc

Gdy pakiet jest zainstalowany warto ustawić program mcedit jako domyślny edytor. Służy do tego polecenie:

# update-alternatives --config editor

Pojawi się menu i polecenie wyboru. Wpisujemy cyfrę z lewej strony programu mcedit i zatwierdzamy Enter:


2. Konfiguracja sieci


Po instalacji systemu połączenie sieciowe serwera jest ustanawiane przez serwis DHCP routera naszej sieci. Pierwszym krokiem jest ustawienie stałego adresu IP dla serwera.

Wykonujemy polecenie:

# mcedit /etc/network/interfaces

i edytujemy plik według wzoru:


Zapisujemy plik klawiszem F2 i wychodzimy z edytora F10. Aby zmiany odniosły skutek musimy zresetować połączenie sieciowe. Wykonujemy dwa polecenia:

# /etc/init.d/networking stop

oraz

# /etc/init.d/networking start

Aktualny adres IP komputera można sprawdzić poleceniem # ifconfig, a połączenie poprzez ping dowolnego serwera, np. Google.

3. Przypisanie nazwy komputera do ustawionego adresu IP


W tym celu trzeba wyedytować plik /etc/hosts zgodnie ze wzorem:


Poprawność operacji sprawdzamy poleceniem:

# ping nazwa_serwera -c 4

Powinniśmy zobaczyć następujący efekt:


III. Instalacja serwera Samba4


1. Instalacja niezbędnych pakietów


Zgodnie z informacjami z oficjalnego HOWTO instalacji Samba4 trzeba zainstalować poniższy zestaw:

# apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

Zestaw dla Debiana w wersji 8 Jessie jest nieco inny:

# apt-get install bind9 build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls28-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev

Jednym z pakietów jest Kerberos, dlatego w trakcie instalacji zostaniemy poproszeni o podanie kilku danych. Nazwę domeny zostawiamy domyślną (powinna być zgodna z tym co wpisaliśmy podczas instalacji systemu operacyjnego):


W następnych dwóch okienkach nie musimy nic zmieniać (możemy zostawić je puste), bo później i tak podmienimy plik konfiguracji Kerberosa. 


2. Ustawienie montowania partycji głównej z opcją ACL


Opcja ta nie jest domyślnie włączona a jest konieczna do przeprowadzenia procesu promowania domeny Active Directory.

Należy otworzyć w edytorze plik konfiguracyjny /etc/fstab, znaleźć linijkę

/ ext4 errors=remount-ro 0 1

i zmienić wpis na

/ ext4 errors=remount-ro,user_xattr,acl,barrier=1 1 1

Następnie wykonujemy polecenie:

# mount -o remount /

3. Instalacja pakietu Samba4


Instalacji serwera dokonamy przez pobranie najnowszej paczki z serwera ftp. Dla porządku warto pobierane paczki zapisywać w oddzielnym katalogu. Wykonujemy polecenia:

# cd /usr/src

# wget https://download.samba.org/pub/samba/stable/samba-4.3.3.tar.gz --no-check-certificate

Po pobraniu rozpakowujemy paczkę:

# tar zxvf samba-4.3.3.tar.gz

Wchodzimy do katalogu:

# cd samba-4.3.3

i dokonujemy instalacji:

# ./configure –-enable-selftest
# make (Ta operacja może zając sporo czasu, w zależności od szybkości procesora i wielkości pamięci RAM. Przy jednym rdzeniu taktowanym zegarem 3 GHz i 1 GB RAM trwa to do 30 minut. )
# make install

4. Promowanie domeny (provisioning)

Wykonujemy polecenie:

# /usr/local/samba/bin/samba-tool domain provision

i odpowiadamy na pytania kreatora. Przy opcjach Realm, Domain i Server Role po prostu wciskamy Enter. Przy opcji DNS backend wpisujemy BIND9_DLZ. Podajemy dwukrotnie hasło administratora domeny i czekamy aż proces promowania dobiegnie końca. Jeśli wszystko do tej pory zrobiliśmy poprawnie, powinniśmy zobaczyć wynik podobny do poniższego.


5. Skopiowanie pliku krb5.conf


Wraz z instalacją pakietu Kerberos został utworzony plik /etc/krb5.conf. Zawiera on wiele danych, które w podstawowej konfiguracji kontrolera domeny nie są potrzebne. Zawartość pliku trzeba zmienić, jednak aby nie utracić informacji w nim zawartych możemy plik zarchiwizować. Wykonujemy polecenie:

# cp /etc/krb5.conf /etc/krb5.conf.old

Plik o odpowiedniej zawartości dostarcza nam Samba4. Musimy go tylko skopiować:

# cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Aby sprawdzić, czy plik został poprawnie skopiowany, wykonujemy polecenie:

# cat /etc/krb5.conf

Powinniśmy uzyskać wynik jak poniżej:


6. Konfiguracja serwera DNS do pracy z kontrolerem domeny Samba4


Serwer DNS Bind9 zainstalowaliśmy razem z systemem operacyjnym. Musimy go jeszcze odpowiednio skonfigurować. W tym celu edytujemy plik /etc/bind/named.conf.options i nadajemy mu taki kształt:


Następnie dopisujemy jedną linijkę do pliku /etc/bind/named.conf.local:


Poprawność konfiguracji serwera DNS sprawdzamy poleceniem

# named-checkconf

Jeśli nic się nie wyświetli to znaczy, że jest dobrze :)

7. Edycja pliku /etc/resolv.conf


Domyślnie w tym pliku wpisane są adresy DNS dostawcy Internetu. Chcemy jednak aby w pierwszej kolejności był przeszukiwany nasz serwer i domena. Zatem plik powinien wyglądać następująco:


Jeśli żądana nazwa nie zostanie rozpoznana przez nasz serwer, rozpocznie on przeszukiwanie serwerów wpisanych w opcji forwarders pliku /etc/bind/named.conf.options.

Po wprowadzeniu zmian restartujemy serwer DNS poleceniami

# /etc/init.d/bind9 stop
# /etc/init.d/bind9 start 

Jeśli zobaczymy dwa razy zielone [ ok ], to będzie znaczyło, że skonfigurowaliśmy serwer poprawnie. Dla pewności można spingować dowolny serwer zewnętrzny, np. Google.

8. Uruchomienie serwera Samba4


Wykonujemy polecenie:

# /usr/local/samba/sbin/samba

To samo polecenie wpisujemy do pliku /etc/rc.local aby Samba4 uruchamiała się wraz ze startem systemu operacyjnego:


9. Sprawdzenie działania serwisów w systemie


a) Samba4


Aby sprawdzić czy serwer Samba4 jest uruchomiony wykonujemy komendę:

# pgrep samba

Powinniśmy otrzymać taki wynik:


Wyświetlone w kolumnie liczby to numery serwisów otwartych w systemie.

Innym sposobem sprawdzenia poprawnego działania kontrolera domeny jest wywołanie polecenia

# /usr/local/samba/bin/smbclient -L localhost -U%

Efekt powinien być następujący:


b) Kerberos


Dzięki poniższemu poleceniu sprawdzimy poprawność działania zarówno pakietu Kerberos jak i Bind9:

# kinit administrator

Powinniśmy zostać poproszeniu o podanie hasła administratora domeny Active Directory. Jeśli tak się stało, to znaczy że nasz kontroler domeny działa poprawnie.

Aby uzyskać absolutną pewność, że wszystko działa dobrze, możemy wykonać restart serwera, np. poleceniem

# shutdown -r now

i wykonać wszystkie testy z punktu 9.

W tym miejscu kończy się instalacja i konfiguracja kontrolera domeny Active Directory w systemie Debian. Jeśli wszystkie etapy zostały wykonane zgodnie z przewodnikiem, nie powinny pojawić się żadne błędy. Gdyby coś jednak było nie tak proszę o komentarz lub wiadomość.