ТЕХНИЧЕСКИЙ АНАЛИЗ
Из Active Directory управлять учетными записями Linux можно, но делать это нелегко
Подразделения ИТ, которым приходится интегрировать клиенты Linux с настольными Windows-системами, могут облегчить своим пользователям жизнь, администрируя учетные записи Linux из службы Microsoft Active Directory. Такую возможность предоставляет проект Samba с открытым кодом, обеспечивающий совместимые с Windows сервисы файлов и печати. Вот только реализовать ее не так-то просто.
Потратив в eWeek Labs немало времени на чтение документации и настройки файла конфигурации, мы наконец-то сконфигурировали Linux-систему Fedora Core 2 фирмы Red Hat так, что она уверенно стала проходить аутентификацию на контроллере домена Windows 2003 при посредничестве Samba 3.03. Отметим, что каждый дистрибутив, который поставляется вместе с Samba, настраивается на аутентификацию в Active Directory по-своему.
Весьма тернистый путь, который привел нас к желаемому результату, и будет описан ниже.
Начали мы с того, что установили на машину Windows Server 2003 все новейшие заплаты, выпущенные и сконфигурированные для контроллера домена Active Directory и сервера DNS (Domain Name System - система доменных имен). На клиенте же была развернута система Fedora Core 2 со всеми текущими обновлениями.
В качестве справочных материалов было использовано официальное руководство Official Samba-3 Howto and Reference Guide, опубликованное на странице http://samba.org/samba/docs/man , и книга "Samba-3 by Example" (Samba-3 в примерах). Кое-что пришлось искать и с помощью Google.
Прежде всего были установлены пакеты Samba - рабочая станция krb5, клиент Samba и само это приложение. Затем с помощью neat (клиент сетевого конфигурирования Red Hat) мы преобразовали свою Windows-систему в сервер DNS для клиента Fedora. Данный шаг необходим, чтобы клиент правильно понимал присвоенное серверу произвольное имя. После этого с помощью программы настройки authconfig пришлось установить winbind - сервис Samba, отвечающий за преобразование информации о пользователях и группах, которая поступает с Windows-серверов.
Кроме запуска этого сервиса программа authconfig самостоятельно внесла большую часть необходимых изменений в файл конфигурации smb.conf.
В комплект Fedora Core 2 входит улучшенная версия authconfig под названием system-config-authentication, однако при тестировании оказалось, что эту утилиту необходимо запускать дважды, иначе введенная информация сохраняется не полностью. Такая ошибка, честно говоря, попортила нам немало нервов.
После этого в окне authconfig мы выбрали опцию use winbind ("использовать winbind") и, щелкнув на кнопке next ("далее"), ввели сведения о сервере. В authconfig предусмотрена и кнопка подключения к домену. Как только мы нажали ее, система попросила ввести имя пользователя с правами администратора и пароль - все это делается на сервере Windows.
Когда данные введены правильно, на экране появляется соответствующее уведомление, а затем authconfig закрывается. Если же этого не происходит, значит, где-то сделана ошибка. Впрочем, бывает и такое, что информация о сервере введена в winbind точно, а подтверждение не поступает. В таком случае необходимо сверить показания часов на клиенте и сервере - слишком большие отклонения между ними могут создать проблему.
После настройки подключения к Active Directory (вверху) мы вошли в домен,
и на тестовом Windows-сервере появилась клиентская система (средняя иллюстрация),
а в списке ее пользователей мы увидели и пользователей из этого домена (внизу)
Чтобы пройти регистрацию на клиентской системе из учетной записи на Windows-сервере, нам пришлось повозиться с имеющимися в этой системе файлами PAM (Pluggable Authentication Module - подключаемый модуль аутентификации), которые можно загрузить с сайта www.eweek.com/labslink.
Для проведения аутентификации через winbind нужно также скорректировать файл systemauth, а в файле gdm и журнале регистрации - указать базовый каталог, который будет создаваться для новых пользователей при их первом входе в систему.
И в заключение еще один совет: перед тем как внести изменения в файлы PAM, обязательно создайте их копии. Мы этого не сделали, и в результате пришлось несколько раз восстанавливать оригиналы, загружая машину со "спасательной" дискеты.
Со старшим аналитиком Джейсоном Бруксом можно связаться по адресу: jason_brooks@ziffdavis.com.