Аутентификация Ubuntu в домене Active Directory с помощью Likewise-open.

С версии Ubuntu 7.10 в репозиториях появился пакет likewise-open, обеспечивающий простой способ аутентификации компьютеров, под управлением Ubuntu, в домене Active Directory.
Этот мануал использовал в call-центре Секретариат — виртуальный офис или виртуальный секретарь для сокращения расходов Вашего бизнеса.
Сразу отмечу — в данный момент в репозиториях два пакета likewise-open: версии 4 (likewise-open) и версии 5 (likewise-open5), сначала этот мануал писал по likewise-open5, там все прошло крайне гладко, не потребовалось консоли вообще, все ограничилось только работой с gui — никаких скриптов, likewise поднимался уже после инициализации сетевого интерфейса, но потом стал разбираться с тем, как организовать на jaunty работу samba и общих папок с acl из домена… и решил пока остановиться на 4-й версии likewise-open.
Установим пакеты:
sudo apt-get install likewise-open likewise-open-gui
Выключим сервис avahi-daemon (мешает нам правильно ресолвить FQDN), если ваш домен оканчивается на .local — Система — Администрирование — Службы.
Выключим Avahi-daemon для беспрепятственной аутентификации Ubuntu в Active Directory
В данном примере домен — homenet.local, контроллер домена — jack.homenet.local, Dave — член группы Domain Admins, Nick — член группы Domain Users.
Запустим Active Directory membership из меню Система-Администрирование.
Запустим Likewise-Open для аутентификации Ubuntu в домене Windows
Введем данные пользователя с правами администратора домена (в нашем случае dave).
Введем учетные данные администратора домена для аутентификации Ubuntu в Active Directory
Ну и посмотрим итог:
Мы успешно подключили Ubuntu к домену Windows Active Directory
Добавим скрипт автозапуска: sudo update-rc.d likewise-open defaults
Likewise-Open стартует раньше, чем поднимается сетевой интерфейс, поэтому повесим скрипт перезапуска Likewise при изменении настроек сетевого интерфейса — создадим файл /etc/network/if-up.d/likewiserestart, поместим в него следующий текст:
#!/bin/sh
/etc/init.d/likewise-open restart

Добавим флаг исполняемого файла: sudo chmod +x /etc/network/if-up.d/likewiserestart
Перезагрузимся, в окне авторизации укажем имя пользователя: HOMENET\nick.
Для того, чтобы предоставить права sudo какой-то группе пользователей (например, тех же самых Domain Admins) сделаем следующее:
sudo visudo
и добавим следующий текст в конец файла:
%HOMENET\\Администраторы^домена ALL=(ALL) ALL
Не забудьте поменять HOMENET на название вашего домена, ну и группу соответственно.

Воскресенье, 24 Май 2009, 15:17

12 коммент. на “Аутентификация Ubuntu в домене Active Directory с помощью Likewise-open.”

  1. 1euge

    Отличная статья, спасибо большое. С судоерами только вот беда какая-то, не хочет Убунта добавлять группы в судоеры :(

  2. 2quizz

    Логофф-логон естественно сделали? Название группы в AD совпадает с тем, что пишете в sudo visudo? Попробуйте в АД сделать группу с английским названием и ее прописать в Ubuntu.

  3. 3tpsnik

    Здравствуйте. Зайти в домен не проблема. У меня проблема в другом. После того как я зашел в систему под доменной учетной записью возникает необходимость сделать что нибудь с правами ROOT. А не получается. Во первых ругается терминал что для учетной зхаписи IDтакой то не определена группа. Netbios имя домена SD. На компьтере не сосздается группа доменных пользователей чтобы им можно было задать какие нибудь права. Строку в sudoers втыкал — не вставляет %SD\Администраторы^домена ALL=(ALL) ALL
    Куда копать? (cavalcada@mail.ru)

  4. 4quizz

    Во-первых, прошу прощения за долгую реакцию — совсем забросил блог.Во-вторых, эта статья писалась и тестировалась, кажется, на 8.10, а то и на 9.04, и в данный момент затрудняюсь сказать, что изменилось в Likewise. Итог: постараюсь разобраться с тем, что сейчас есть в репах и попробовать подружить 10.04 с Win2k3 и Win2k8. О результатах сообщу.

  5. 5tpsnik

    Здравствуйте. Спасибо за реакцию. За ответ. Почти все получилось. Проблема была в русскоязычном написании группы администраторов домена. Так сделал группу пользователей с латинским написанием, прописал туда же пару пользователей, опять же с латинским именем, дал им админские права — все заработало. В fstab прописал строку с подключением сетевых дисков — все нормально работало, правда при работе в терминале он все равно ругался на ID группы пользователей. Но это было не страшно. Потом автоматическое обновление системы «обновило» систему и кучу разных программ. В том числе и likewise. Сетевые диски пропали. Домен в сети по доменному имени не видится (только по IP), но зато терминал перестал ругаться на ID группы пользователей. Может быть по этому поводу можете что нибудь сказать? cavalcada@mail.ru

  6. 6marabuntu

    Для того, чтобы предоставить права sudo пользователям в UBUNTU 10.04 необходимо править в /etc/group
    строчку
    admin:x:119:localuser
    привести к такому виду
    admin:x:119:localuser,DOMAINdomainuser
    таким же образом можно давать пользователям и другие привелегии например разрешение виртуализации virtualbox
    vboxusers:x:124:localuser,DOMAINdomainuser
    и т.п.

  7. 7quizz

    Спасибо. Думаю, это будет полезно многим.

  8. 8marabuntu

    Между DOMAIN и domainuser надо ставить бэк-слеш ""

  9. 9Apache

    сделал 1 в 1 как по инструкции, после перезагрузки пишет: Error, Сбой при проверке подлинности

  10. 10Basov

    Может быть вопрос немного не по теме, но может вы сталкивались с подобным.
    Сделал все как у Вас написано. Авторизация работает нормально.
    Sudo тоже нормально отрабатывает.
    А вот с доменными шарами проблема: при попытке подмонтировать их с помощью smbnetfs — в Active Directory блокируется пользователь.
    Что это может быть?

  11. 11Amelion

    10.0.4 У меня после того как ввел учетные данные доменадмина выскакивает следующая ошибка:
    Lsass Erroe
    1225(0x4c9) Erroe_connection_refused — Unknown error

    Помогите решить проблему, плиз кто сталкивался с таким?

  12. 12ArbyZ

    Из под root:
    1) killall lwsmd lwregd dcerpcd netlogond eventlogd lwiod lsassd
    2) /bin/rm -rf /var/lib/likewise-open
    3) mkdir -p /var/lib/likewise-open/{db,rpc,run}
    4) chmod 700 /var/lib/likewise-open/db
    5) /etc/init.d/lwsmd start
    6) for file in /etc/likewise-open/*.reg; do lwregshell import $file; done
    7) /etc/init.d/lwsmd reload
    8) lwsm start lsass

    Запускаешь likewise, прописываешь заново — и вуаля работает (тестил на 10.04)

Оставить комментарий