Már jó néhány LDAP cikket írtam Solaris integrációval kapcsolatosan. Természetesen a Solaris kifejezetten LDAP attribitumokra van tervezve, az automount, netrgoup és egyéb szolgáltatás is ebbe integrálható igény esetén. A legtöbb esetben viszont a Microsoft Active Directory technológiája szokott dominálni a vállalati környezetekben, így jogosan felmerül a kérdés, Solaris rendszert hogyan is tudunk Active Directory-hoz integrálni.
Hackelés és szívás
Elég régóta próbálkozom, és megannyi leírást és trükközést kipróbáltam, amivel a jól ismert ldapclient felparaméterezhetö, mégsem sikerült működő megoldást találnom. Ezeket így senkinek nem is ajánlom.
Próbáltam törekedni arra, hogy ne valamilyen fizetős, vagy zárt megoldást találjak, így jutottam végül el a megoldásig.
Likewise-Open
A Likewise egy különálló, 3rd party termék. A termék célja viszonylag egyszerü. Támogatást biztosítani a NEM Windows rendszerek Active Directory integrációjához.
A nyílt, ingyenes eszköz tökéletesen elég az átlag felhasználónak. Illetve a fizetős Enterprise változat igazán közel hozza a NEM Windows rendszereket a megszokott Microsoft központi managmenthez.
A támogatott platformok:
– Linux 2.4 és 2.6 kernel (redhat, suse, fedora, centos, debian, utunbu)
– Mac OS X 10.4, 10.5, 10.6
– Solaris 8,9,10 SPARC és x86
– HP-UX PA-RISC és IA64
– AIX
– FreeBSD 6,7,8
Solaris 10 install
Az összes többi platformon hasonló az installálás. Először is fel kell keresnünk a Likewise oldalát, és le kell töltenünk a megfelelő csomagot.
Amennyiben megvan, töltsük fel a Solaris gépünkre. Én ezt a /tmp-be tettem.
Adjunk futtatási jogot az állománynak, és indítsuk el.
Jól látszik, ahogy fel van sorolva, hogy milyen komponensek, milyen license szerződésekkel fognak települni. Ezt el kell fogadnunk.
Ezek után, még yes-el kell válaszolnunk arra kérdésre, hogy valóban telepíteni akarjuk. Majd elindulnak a másolások, és a bizonyos állományok módosítása.
Ezzel kész is a telepítés.
Léptessük be a Solaris gépet a DOMAIN-be
Ahogy azt a telepítés végeztével láthatjuk is, egy egyszerű parancs kiadásával megtehetjük azt, ami a program nélkül szinte lehetetlen, vagy kínszenvedés.
# domainjoin-cli join xorp.hu Administrator
Tehát, meg kell adnunk, hogy beléptetni akarjuk, melyik domainba, illetve milyen domain adminnal.
Ezek után kész is vagyunk.
Tesztelés
Nézzük meg, hogy is tudunk ezek után egy domain userrel belépni erre az új gépre.
Fontos, hogyha terminálból akarunk ssh-zni akkor a következő módok egyikével kell tennünk.
ssh XORP\\miszterx@xorp-sol10
ssh ‘XORP\miszterx’@xorp-sol10
Illetve PUTTY vagy hasonló grafikus toolok esetében egyszerűen csak XORP\miszterx formátumban hivatkozzunk a domain felhasználónkra. Ahol értelemszerűen a XORP a domain-t jelöli, a miszterx a domain felhasználót.
Ennyi. Elég egyszerű ugye?
SUDO jogok
Természetesen a következő kérdés az, ezekre a felhasználókra, hogyan hivatkozhatunk például egy SUDO configban.
%mydomain\\yourusername ALL=(ALL) ALL
%mydomain\\domain^admins ALL=(ALL) ALL
%mydomain\\domain^users ALL=(ALL) ALL
Az első sorban egy tetszőleges felhasználót adhatunk meg, a másodikban jogot adhatunk domain adminoknak, a harmadikban pedig bármely domain felhasználónak. Értelemszerűen itt nem alapértelmezett csoportokat is meghivatkozhatunk.
Hibák
Tipikus hibaüzenet domainbe léptetéskor:
Error: DNS_ERROR_BAD_PACKET
Error: LW_ERROR_ENUM_DOMAIN_TRUSTS_FAILED
Ilyen esetekben elöször az /etc/hosts file tartalmát ellenőrizzük. Fontos, hogy gépünk a FQDN-el legyen megadva.
Másodjára pedig az /etc/nsswitch.conf file hosts sorát érdemes megnézni. Itt is fontos, hogy a következő legyen beállítva:
hosts: files dns
Összefoglalás
A Likewise könnyen, és egyszerűen használható multi platformos megoldást nyújt Active Directory integrációhoz. Bátran merem mindenkinek ajánlani. Nagyobb vállalatoknál pedig az Enterprise megoldását is.
minden esetben UNC-vel kell belepni, a sima miszterx@xorp-sol10 nem mukod?
Hi,
Sajna nem. Akkor csak local usert keres :(
Mindenképp meg kell adni a domaint. Legallabbis default domain beallitast én nem talatam.
Sok sikert!