Аутентификация Ubuntu в домене Active Directory с помощью Likewise-open.
С версии Ubuntu 7.10 в репозиториях появился пакет likewise-open, обеспечивающий простой способ аутентификации компьютеров, под управлением Ubuntu, в домене Active Directory.
Этот мануал использовал в call-центре Секретариат — виртуальный офис или виртуальный секретарь для сокращения расходов Вашего бизнеса.
Сразу отмечу — в данный момент в репозиториях два пакета likewise-open: версии 4 (likewise-open) и версии 5 (likewise-open5), сначала этот мануал писал по likewise-open5, там все прошло крайне гладко, не потребовалось консоли вообще, все ограничилось только работой с gui — никаких скриптов, likewise поднимался уже после инициализации сетевого интерфейса, но потом стал разбираться с тем, как организовать на jaunty работу samba и общих папок с acl из домена… и решил пока остановиться на 4-й версии likewise-open.
Установим пакеты:
sudo apt-get install likewise-open likewise-open-gui
Выключим сервис avahi-daemon (мешает нам правильно ресолвить FQDN), если ваш домен оканчивается на .local — Система — Администрирование — Службы.
В данном примере домен — homenet.local, контроллер домена — jack.homenet.local, Dave — член группы Domain Admins, Nick — член группы Domain Users.
Запустим Active Directory membership из меню Система-Администрирование.
Введем данные пользователя с правами администратора домена (в нашем случае dave).
Ну и посмотрим итог:
Добавим скрипт автозапуска: sudo update-rc.d likewise-open defaults
Likewise-Open стартует раньше, чем поднимается сетевой интерфейс, поэтому повесим скрипт перезапуска Likewise при изменении настроек сетевого интерфейса — создадим файл /etc/network/if-up.d/likewiserestart, поместим в него следующий текст:
#!/bin/sh
/etc/init.d/likewise-open restart
Добавим флаг исполняемого файла: sudo chmod +x /etc/network/if-up.d/likewiserestart
Перезагрузимся, в окне авторизации укажем имя пользователя: HOMENET\nick.
Для того, чтобы предоставить права sudo какой-то группе пользователей (например, тех же самых Domain Admins) сделаем следующее:
sudo visudo
и добавим следующий текст в конец файла:
%HOMENET\\Администраторы^домена ALL=(ALL) ALL
Не забудьте поменять HOMENET на название вашего домена, ну и группу соответственно.
1euge
написал 11 Декабрь 2009 at 17:09
Отличная статья, спасибо большое. С судоерами только вот беда какая-то, не хочет Убунта добавлять группы в судоеры :(
2quizz
написал 11 Декабрь 2009 at 17:15
Логофф-логон естественно сделали? Название группы в AD совпадает с тем, что пишете в sudo visudo? Попробуйте в АД сделать группу с английским названием и ее прописать в Ubuntu.
3tpsnik
написал 22 Июль 2010 at 6:34
Здравствуйте. Зайти в домен не проблема. У меня проблема в другом. После того как я зашел в систему под доменной учетной записью возникает необходимость сделать что нибудь с правами ROOT. А не получается. Во первых ругается терминал что для учетной зхаписи IDтакой то не определена группа. Netbios имя домена SD. На компьтере не сосздается группа доменных пользователей чтобы им можно было задать какие нибудь права. Строку в sudoers втыкал — не вставляет %SD\Администраторы^домена ALL=(ALL) ALL
Куда копать? (cavalcada@mail.ru)
4quizz
написал 9 Август 2010 at 15:41
Во-первых, прошу прощения за долгую реакцию — совсем забросил блог.Во-вторых, эта статья писалась и тестировалась, кажется, на 8.10, а то и на 9.04, и в данный момент затрудняюсь сказать, что изменилось в Likewise. Итог: постараюсь разобраться с тем, что сейчас есть в репах и попробовать подружить 10.04 с Win2k3 и Win2k8. О результатах сообщу.
5tpsnik
написал 10 Август 2010 at 4:43
Здравствуйте. Спасибо за реакцию. За ответ. Почти все получилось. Проблема была в русскоязычном написании группы администраторов домена. Так сделал группу пользователей с латинским написанием, прописал туда же пару пользователей, опять же с латинским именем, дал им админские права — все заработало. В fstab прописал строку с подключением сетевых дисков — все нормально работало, правда при работе в терминале он все равно ругался на ID группы пользователей. Но это было не страшно. Потом автоматическое обновление системы «обновило» систему и кучу разных программ. В том числе и likewise. Сетевые диски пропали. Домен в сети по доменному имени не видится (только по IP), но зато терминал перестал ругаться на ID группы пользователей. Может быть по этому поводу можете что нибудь сказать? cavalcada@mail.ru
6marabuntu
написал 21 Январь 2011 at 9:59
Для того, чтобы предоставить права sudo пользователям в UBUNTU 10.04 необходимо править в /etc/group
строчку
admin:x:119:localuser
привести к такому виду
admin:x:119:localuser,DOMAINdomainuser
таким же образом можно давать пользователям и другие привелегии например разрешение виртуализации virtualbox
vboxusers:x:124:localuser,DOMAINdomainuser
и т.п.
7quizz
написал 21 Январь 2011 at 22:29
Спасибо. Думаю, это будет полезно многим.
8marabuntu
написал 22 Январь 2011 at 11:06
Между DOMAIN и domainuser надо ставить бэк-слеш ""
9Apache
написал 11 Февраль 2011 at 9:25
сделал 1 в 1 как по инструкции, после перезагрузки пишет: Error, Сбой при проверке подлинности
10Basov
написал 7 Июнь 2011 at 11:05
Может быть вопрос немного не по теме, но может вы сталкивались с подобным.
Сделал все как у Вас написано. Авторизация работает нормально.
Sudo тоже нормально отрабатывает.
А вот с доменными шарами проблема: при попытке подмонтировать их с помощью smbnetfs — в Active Directory блокируется пользователь.
Что это может быть?
11Amelion
написал 1 Июль 2011 at 11:10
10.0.4 У меня после того как ввел учетные данные доменадмина выскакивает следующая ошибка:
Lsass Erroe
1225(0x4c9) Erroe_connection_refused — Unknown error
Помогите решить проблему, плиз кто сталкивался с таким?
12ArbyZ
написал 9 Ноябрь 2011 at 14:19
Из под root:
1) killall lwsmd lwregd dcerpcd netlogond eventlogd lwiod lsassd
2) /bin/rm -rf /var/lib/likewise-open
3) mkdir -p /var/lib/likewise-open/{db,rpc,run}
4) chmod 700 /var/lib/likewise-open/db
5) /etc/init.d/lwsmd start
6) for file in /etc/likewise-open/*.reg; do lwregshell import $file; done
7) /etc/init.d/lwsmd reload
8) lwsm start lsass
Запускаешь likewise, прописываешь заново — и вуаля работает (тестил на 10.04)