L’objectiu
anar substituint sistemes operatius obsolets per GNU/linux.
Al estar els primer integrats a dins un Active Directory (AD) de Windows, el que farem és fer que els nous sistemes també s’integrin a dins aquest sistema, de tal forma de poder emprar el mateix sistema de validació i permisos sobre els recursos, fent així que des de el punt de vista de l’usuari, els canvis siguin mínims.
Per a poder integrar el Linux a dins un active directory farem les següents passes :
Important
Tenir el DNS correctament configurat perquè resolgui i trobi el Active Directory.
Instal·lar lightdm
Després de fer una sèrie de proves, vaig trobar una serie de “bugs” entre el gestor gràfic i el sistema de muntatge d’unitats pam_mount.
Per tant la solució més pràctica que he trobada és la de substituir el gestor gràfic (gdm, mdm, gdm3…) per el lightdm.
Les proves fetes amb èxit han estat amb Xubuntu (XFCE), LinuxMint LMDE (Cinnamon) i Debian 7 (Gnome Fallback).
Amb això, a part d’evitar el “bug” esmentat anteriorment, tenim una entrada més clara per l’usuari i al mateix temps emprem menys recursos i la entrada al sistema és més ràpida.
![loginLightdm](https://illabit.wordpress.com/wp-content/uploads/2014/03/loginlightdm.png?w=640)
![loginWin](https://illabit.wordpress.com/wp-content/uploads/2014/03/loginwin.jpg?w=640)
Instal·lar paquets necessaris
*son requisits del centrify (ssh i rpcbind) la resta son per fer el muntatge d’unitats
sudo apt-get install ssh rpcbind libpam-mount cifs-utils
– Descarregar el client Centrify adient per la nostra distro i versió (64 ó 32 bits)
http://www.centrify.com/express/free-active-directory-tools-for-linux-mac.asp#agents
Centrify és una eina gratuïta (no lliure) que ens permetrà amb molta facilitat fer les tasques d’integració de la màquina dins l’AD, de tal forma que l’usuari es podrà validar al sistema emprant la base de dades unificada d’usuaris i contrasenyes que ja tenim (active directory)
– Descomprimim el paquet i executem l’script d’instal·lació
sudo sh Install.sh
Seleccionarem la versió “suite express Edition (X)”
Seguirem l’assistent en mode text i respondrem les preguntes que ens farà
Les més destacables son les del nom del domini a agregar-se i el nom i contrasenya de l’usuari amb permisos per agregar equips al domini.
Al finalitzar correctament es reiniciarà l’equip i ja podrem validar-nos amb els usuaris de l’active directori.
Usuaris AD amb permisos de sudo
Un cop fet això ens interessarà tenir un grup del domini a on hi haurà usuaris que tendran permisos d’administrador sobre aquestes màquines locals.
crearem un grup al active directori, per exemple “linuxadmins“.
Un cop fet el grup i ficat els usuaris pertinents. Modificarem el fitxer :
sudo nano /etc/sudoers
agregarem aquesta línia
# Allow members of group linuxadmins to execute any command %linuxadmins ALL=(ALL:ALL) ALL
a partir d’aquest moment els usuaris, ja tendran permisos root.
Muntatge unitats
Un cop validats al AD, el que farem és via pam_mount, fer el muntatges a les unitats, com que ja estam validats no se’ns demanarà altre contrasenya.
sudo nano /etc/security/pam_mount.conf.xml
Davall aquesta línia
<!-- pam_mount parameters : Volume-related -->
hi posarem els volums que volem muntar.
<volume user="*" fstype="cifs" server="servidorFitxers" path="users/%(DOMAIN_USER)" mountpoint="~/Usuari" />
<volume user="*" fstype="cifs" server="servidorFitxers" path="docs" mountpoint="~/L" />
Editar ordre d’autenticació
nano /etc/pam.d/common-auth
fer els canvis que veiem en negreta
auth optional pam_mount auth optional pam_cap.so auth sufficient pam_centrifydc.so try_first_pass auth requisite pam_centrifydc.so deny
Amb això, al reiniciar l’equip, l’usuari ja es connectarà automàticament a la serva carpeta personal que te al servidor de fitxers, a la qual hi accedim gracies a la variable %(DOMAIN_USER) i es munta sobre el directori local “Documents” de la seva maquina.
Nota : si volguéssim tenir perfils mòbils, a les hores el muntatge es faria sobre una unitat de xarxa.Execució de script al inici de sessió
També ens interessa que quan un usuari inici la seva sessió, emulem el famós NETLOGON de windows, a on enllà es fica l’script que volem que executi al iniciar-se la sessió. al nostre cas la cosa varia una mica i per aconseguir el mateix resultat hem de fer el següent :
crearem de dos fitxers
logon.desktop , el qual és el llançador del script
nano /etc/xdg/autostart/logon.desktop
[Desktop Entry] Type=Application Name=logon Exec=sh /usr/local/share/logon.sh Icon=system-run X-GNOME-Autostart-enabled=true
logon.sh , és el fitxer que conté les instruccions a executar.
nano /usr/local/share/logon.sh
#!/bin/bash # missatge de benvinguda zenity --info --text='Benvingut' & #missatge benvingudaNota, el missatge de benvinguda l’emprem per veure de forma visual que l’script funciona correctament, després es pot eliminar o comentar.
Un cop fet això, ja tenim una màquina Linux que es valida a un domini Windows, amb usuaris autenticats mitjançant l’active directory com a administradors locals de la màquina i que a més quan iniciem la sessió executarà un script de login, en el qual hi podrem ficar-hi les instruccions que trobem necessàries. A part de que muntarà les unitats de l’usuari automàticament.
![lmdeDeskLoged](https://illabit.wordpress.com/wp-content/uploads/2014/03/lmdedeskloged.jpg?w=640&h=598)
![finestraWin](https://illabit.wordpress.com/wp-content/uploads/2014/03/finestrawin.jpg?w=640&h=569)
Bug detectat
Al iniciar un usuari del AD per primera vegada a la màquina i si aquesta s’acaba d’iniciar, potser tinguem que esperar uns 10″ per a poder-nos validar.
Aquí hi ha un post al forum de centrify al respecte
Script d’instal·lació automatitzada
En la propera entrada al blog us mostraré un script per automatitzar tot el proces abans descrit i poder fer la integració en qüestió de segons.
Perdona el “fora de tema” però és que lo de “Conectarse a: INCA” m’ha agradat molt
😉