Το προφίλ μας στο Google Plus
2

Υπηρεσίες Active Directory, χωρίς active-τσέπη [μέρος 2/2]

Τα θεμέλια του οικοδομήματός μας είναι στιβαρά. Από μόνα τους όμως δεν προσφέρουν τίποτα χρήσιμο. Σε αυτό το δεύτερο μέρος θα συνεχίσουμε την εργασία μέχρι την ολοκλήρωση και της τελευταίας λεπτομέρειας. Μη νομίσετε πάντως ότι θα μπλέξουμε σε δύσκολα μονοπάτια. Θα εξακολουθήσουμε να χρησιμοποιούμε μικρά και εύχρηστα εργαλεία.

Στο τέλος του πρώτου μέρους καταφέραμε να στήσουμε τον δικό μας Domain Controller. Θα μπορούσαμε τώρα να ξεκινήσουμε την προσπάθεια σύνδεσης των συστημάτων αλλά, όπως συμβαίνει στις περισσότερες περιπτώσεις, η βιασύνη δεν αποτελεί καλό σύμβουλο. Για αρχή, μπορούμε να κάνουμε μια ακόμα επανεκκίνηση και στη συνέχεια να τσεκάρουμε τις ρυθμίσεις και τη λειτουργικότητα του Samba server. Για την επανεκκίνηση δεν χρειάζεται να πούμε πολλά:

$ sudo reboot

Όταν συνδεθούμε ξανά στο σύστημα, μπορούμε να αρχίσουμε τους ελέγχους. Όσοι άφησαν ενεργά όλα τα μέτρα ασφαλείας του κωδικού του διαχειριστή, μπορούν να τσεκάρουν το χρονικό διάστημα που απομένει μέχρι τη λήξη του. Για το σκοπό αυτό χρησιμοποιούμε το kinit — ένα πρόγραμμα που συνοδεύει την υπηρεσία Kerberos:

$ kinit administrator@DELTA.LOCAL

Μόλις το τρέξουμε θα μας ζητηθεί ο κωδικός που ορίσαμε για το διαχειριστή και μόλις τον εισάγουμε, θα μάθουμε πότε λήγει. Ακολούθως, βλέπουμε αν και ποια tickets πιστοποίησης έχει εκδώσει το Kerberos. Για αυτή τη δουλειά χρησιμοποιούμε το εργαλείο klist:

$ klist

Προφανώς, εφόσον δεν έχουμε συνδέσει ακόμα κανένα σύστημα στο Domain, δεν θα έχει εκδοθεί κανένα πιστοποιητικό. Ωστόσο, τρέχοντας αυτά τα δύο προγράμματα κι από τη στιγμή που δεν εμφανίζονται μηνύματα λάθους, βεβαιωνόμαστε ότι το Kerberos λειτουργεί κανονικά. Για την επιβεβαίωση της λειτουργίας του Samba server χρησιμοποιούμε το εργαλείο smbclient:

$ smbclient -L localhost -U%
$ smbclient //localhost/netlogon –U 'Administrator' -c 'ls'

Με την εκτέλεση της πρώτης γραμμής εμφανίζονται πληροφορίες για τους πόρους και μερικές βασικές ρυθμίσεις του Samba server. Με την εκτέλεση της δεύτερης, το σύστημα θα ζητήσει να εισάγουμε τον κωδικό του διαχειριστή. Εφόσον το κάνουμε, θα προβάλει όλα τα αρχεία που ανήκουν στο συγκεκριμένο χρήστη και διαμοιράζονται από τον Samba server. Εν ολίγοις, θα εμφανιστεί κάτι που θα μοιάζει με άδειο κατάλογο. Όπως αντιλαμβάνεστε, το σκεπτικό μας παραμένει ίδιο: Αν δεν εμφανιστεί κάποιο μήνυμα λάθους, ο Samba server λειτουργεί κανονικά και είναι έτοιμος να αρχίσει το διαμοιρασμό αρχείων.

Διαμοιρασμός αρχείων
Στην εισαγωγή του προηγούμενου μέρους, τονίσαμε ότι μια μεγάλη ευκολία του Active Directory σχετίζεται με τα roaming profiles, δηλαδή τη δυνατότητα να έχουμε τα αρχεία και τις ρυθμίσεις μας σε οποιοδήποτε μηχάνημα του domain κι αν καθίσουμε. Σε ένα δίκτυο που αξιοποιεί την εν λόγω τεχνολογία, τα αρχεία που σχετίζονται με τον λογαριασμό μας δεν είναι υποχρεωτικό να βρίσκονται στον Domain controller. Μπορούν κάλλιστα να διατηρούνται σε ξεχωριστό μηχάνημα, που εκτελεί χρέη file server. Τις περισσότερες φορές πάντως τα δύο παραπάνω καθήκοντα (domain controller και file server) ανατίθενται στο ίδιο μηχάνημα. Το ίδιο θα κάνουμε κι εμείς, εφόσον έτσι μπορούμε να εξοικονομήσουμε ακόμα περισσότερους πόρους. Το γεγονός ότι ο Domain controller τρέχει Ubuntu Server και οι δίσκοι του είναι διαμορφωμένοι με το σύστημα Ext4, δεν πρέπει να σας ανησυχεί. O Samba server φροντίζει να μεταφέρει τα αρχεία μας από και προς τα μηχανήματα που τρέχουν Windows, χωρίς το παραμικρό πρόβλημα. Το επόμενο βήμα, λοιπόν, είναι η δημιουργία ενός κοινόχρηστου δικτυακού πόρου, στον οποίο θα φυλάσσονται τα αρχεία των χρηστών. Εντελώς αυθαίρετα, αποφασίσαμε ότι ο σχετικός αποθηκευτικός χώρος θα βρίσκεται στη θέση /home/Users:

$ sudo mkdir /home/Users
$ sudo chown root:users /home/Users
$ sudo chmod ug+rwx,ο= /home/Users
$ sudo chmod g+s /home/Users

Πιστεύουμε ότι η πρώτη εντολή δεν χρειάζεται ιδιαίτερη επεξήγηση. Η δεύτερη ορίζει τον ιδιοκτήτη (owner) και την ομάδα χρηστών (user group) που ανήκει ο κατάλογος /home/Users. Ούτε κι εδώ χρειάζεται να πούμε περισσότερα. Η τρίτη εντολή όμως είναι πιθανό να σας προβληματίσει. Με αυτήν εξασφαλίζουμε ότι ο ιδιοκτήτης του καταλόγου (u), καθώς και όσοι χρήστες ανήκουν στο ίδιο group με τον κατάλογο (g), θα έχουν πλήρη πρόσβαση (+rwx). Ταυτόχρονα, οι υπόλοιποι χρήστες (o) δεν θα έχουν κανένα δικαίωμα επί του καταλόγου. Η τέταρτη εντολή τροποποιεί πάλι τα δικαιώματα του καταλόγου /home/Users και πετυχαίνει κάτι που ενδέχεται να σας ήταν εντελώς άγνωστο. Εδώ ενεργοποιούμε μια ιδιότητα που ονομάζεται setgid, από το set group ID upon execution. Η συγκεκριμένη ιδιότητα έχει άλλη ερμηνεία όταν ενεργοποιείται σε απλά αρχεία και διαφορετική όταν ενεργοποιείται σε καταλόγους. Στη δική μας περίπτωση (εφαρμογή σε κατάλογο) έχει το εξής αποτέλεσμα: Οποιοδήποτε αρχείο δημιουργείται εντός του συγκεκριμένου καταλόγου, θα ανήκει εξ ορισμού στην ομάδα χρηστών (user group) που ανήκει και ο κατάλογος. Με αυτό το τελευταίο βήμα, εξασφαλίζουμε ότι κάθε αρχείο που δημιουργεί ο Samba server μέσα στον κατάλογο /home/Users, θα ανήκει στο group ονόματι users.

Έχοντας ετοιμάσει τον κατάλογο που θα φιλοξενεί τα διαμοιραζόμενα αρχεία, πρέπει να ενημερώσουμε κατάλληλα τις ρυθμίσεις του Samba server. Έτσι, θα χρησιμοποιήσουμε τον αγαπημένο μας text editor και θα ανοίξουμε το αρχείο /etc/samba/smb.conf:

$ sudo nano /etc/samba/smb.conf

Τώρα πρέπει να μεταβούμε στο τέλος του αρχείου και να προσθέσουμε μια νέα ενότητα (section). Όπως υποψιάζεστε, εδώ θα περιγράψουμε τον κοινόχρηστο αποθηκευτικό χώρο που θέλουμε να δημιουργήσουμε:

[Users]
	read only = no
	path = /home/Users
	csc policy = documents

Μέσα στις αγκύλες, που ορίζουν και την έναρξη του section, τοποθετούμε το όνομα του κοινόχρηστου πόρου. Με το ίδιο όνομα θα εμφανίζεται αργότερα και στους χρήστες του Domain. Εμείς αποφασίσαμε να χρησιμοποιήσουμε το κοινότοπο αλλά άκρως κατατοπιστικό όνομα Users. Έτσι ο συγκεκριμένος πόρος θα είναι προσβάσιμος από ολόκληρο το τοπικό δίκτυο, στη θέση \samba\Users. Μετά από αυτή την προσθήκη, αποθηκεύουμε το αρχείο, κλείνουμε τον editor και πραγματοποιούμε μια επανεκκίνηση της υπηρεσίας Samba:

$ sudo service smbd restart

Μπορεί να μην έχετε συνειδητοποιήσει τι πετύχαμε με τα απλά βήματα που είδαμε ως τώρα, αλλά εμείς ενθουσιαστήκαμε αρκετά σε αυτή τη φάση. Στο νου μας ήρθαν στιγμές σαν αυτές που τελειώναμε μια πίστα του Super Mario και περνούσαμε στην επόμενη :D

Ένταξη στο domain
Τώρα μπορούμε να μεταβούμε στα μηχανήματα που τρέχουν Windows, για να τα προσθέσουμε στο domain. Εδώ πρέπει να σας θυμίσουμε ότι μόνο οι εκδόσεις Professional (και Ultimate στην περίπτωση των Windows 7) μπορούν να ενταχθούν σε domain. Ένας τρόπος να εξασφαλίσουμε ότι το εκάστοτε σύστημα θα δει αμέσως τον Domain Controller, είναι να εξασφαλίσουμε ότι χρησιμοποιεί τον δικό μας Name server. Αυτό επιτυγχάνεται από τις ρυθμίσεις του πρωτοκόλλου TCP/IP. Στα Windows 7, για παράδειγμα, πρέπει να ανοίξουμε το “Κέντρο δικτύου”, να πατήσουμε στο “Αλλαγή ρυθμίσεων προσαρμογέα” κι από ‘κεί, να κάνουμε διπλό κλικ επάνω στο εικονίδιο που αναπαριστά την ενεργή κάρτα δικτύου του υπολογιστή. Στο παράθυρο που εμφανίζεται πατάμε το κουμπί “Ιδιότητες” και στο νέο παράθυρο κάνουμε διπλό κλικ στο πρωτόκολλο TCP/IP 4. Έτσι εμφανίζεται ένα ακόμα παράθυρο, στο οποίο ορίζουμε σαν DNS address τη διεύθυνση του Domain controller μας. Στη δική μας περίπτωση δώσαμε το 192.168.1.5.

Για τον ευκολότερο εντοπισμό του Domain controller από το σύστημα, πρέπει να αλλάξουμε τη διεύθυνση του DNS. Για την ακρίβεια, πρέπει να δώσουμε τη διεύθυνση IP που έχει ο δικός μας server.

Για τον ευκολότερο εντοπισμό του Domain controller από το σύστημα, πρέπει να αλλάξουμε τη διεύθυνση του DNS. Για την ακρίβεια, πρέπει να δώσουμε τη διεύθυνση IP που έχει ο δικός μας server.

Προφανώς, επόμενο βήμα είναι η ένταξη του μηχανήματος στο domain. Αυτό μπορεί να γίνει από την ενότητα “Σύστημα” του πίνακα ελέγχου. Ένας γρήγορος τρόπος για να επισκεφθούμε τη συγκεκριμένη περιοχή, είναι να κάνουμε δεξί κλικ στο εικονίδιο “Υπολογιστής” και να επιλέξουμε τις “Ιδιότητες”. Στη συνέχεια κάνουμε κλικ στο “Αλλαγή ρυθμίσεων”, που εμφανίζεται λίγο παραδίπλα από το όνομα του υπολογιστή. Έτσι εμφανίζεται ένα ακόμα παράθυρο. Από εκεί μπορούμε να αλλάξουμε το όνομα του υπολογιστή και, το σημαντικότερο, να τον εντάξουμε σε κάποιο domain. Για το σκοπό αυτό πατάμε το κουμπί “Αλλαγή…” κι εμφανίζεται ένα ακόμα παράθυρο (ουφ!). Εκεί ενεργοποιούμε την επιλογή “Τομέας”, αντί του “Ομάδα Εργασίας” και εισάγουμε στο σχετικό πεδίο το όνομα του Domain controller μας. Σημειώστε ότι το όνομα πρέπει να γραφεί με κεφαλαία. Για παράδειγμα εμείς δώσαμε το DELTA. Μόλις πατήσουμε το κουμπί ΟΚ, εμφανίζεται ένα παράθυρο σύνδεσης που ζητάει όνομα χρήστη και κωδικό πρόσβασης. Εκεί χρησιμοποιούμε σαν username το Administrator και τον αντίστοιχο κωδικό, που επιλέξαμε κατά την αρχική ρύθμιση του Samba server. Αν εισάγουμε τα σωστά στοιχεία, θα εμφανιστεί ένα μήνυμα καλωσορίσματος στο domain!

Μόλις εντάξαμε το συγκεκριμένο μηχάνημα στο domain DELTA. Στην επόμενη επανεκκίνηση θα μπορούμε να συνδεθούμε χρησιμοποιώντας λογαριασμούς χρήστη του domain.

Μόλις εντάξαμε το συγκεκριμένο μηχάνημα στο domain DELTA. Στην επόμενη επανεκκίνηση θα μπορούμε να συνδεθούμε χρησιμοποιώντας λογαριασμούς χρήστη του domain.

Σε αυτό το στάδιο, για να ολοκληρωθεί η διαδικασία σύνδεσης απαιτείται μια επανεκκίνηση του υπολογιστή. Όταν ξεκινήσει το σύστημα ξανά, θα παρατηρήσετε μια σημαντική διαφορά: Η οθόνη σύνδεσης (login screen) θα είναι διαφορετική και θα σας προτρέπει να πατήσετε το συνδυασμό Ctrl+Alt+Del, για να εμφανιστεί η φόρμα σύνδεσης. Περιττό να πούμε ότι η οθόνη σύνδεσης θα εμφανιστεί ακόμα κι αν την είχατε απενεργοποιήσει, πριν από την σύνδεση στο domain.

Μετά την ένταξη στο domain, για τη σύνδεση στον υπολογιστή πρέπει να πατήσουμε το συνδυασμό πλήκτρων Ctrl+Alt+Del.

Μετά την ένταξη στο domain, για τη σύνδεση στον υπολογιστή πρέπει να πατήσουμε το συνδυασμό πλήκτρων Ctrl+Alt+Del.

Οι δικτυακοί λογαριασμοί (αυτοί που διαχειρίζεται ο Domain Controller) έχουν σαν πρόθεμα το όνομα του domain, ενώ οι τοπικοί λογαριασμοί (αυτοί που είχαν δημιουργηθεί στο ίδιο το σύστημα), έχουν σαν πρόθεμα το όνομα του μηχανήματος. Στη δική μας περίπτωση πληκτρολογήσαμε σαν όνομα χρήστη το DELTA\Administrator και δώσαμε πάλι τον κωδικό πρόσβασης που γνωρίζει ο Samba server. Μη νομίζετε όμως ότι συνδεθήκαμε αμέσως. Καθώς ήταν η πρώτη φορά που χρησιμοποιούσαμε το συγκεκριμένο λογαριασμό, τα Windows έπρεπε να δημιουργήσουν μια επιφάνεια εργασίας με όλα τα αρχεία που διαθέτουν οι νέοι λογαριασμοί. Όταν πραγματοποιηθεί η σύνδεση και βρεθούμε στο desktop, διαπιστώνουμε ότι μπορούμε να προσθαφαιρέσουμε προγράμματα και να αλλάξουμε κάθε ρύθμιση του συστήματος. Αυτό δεν πρέπει να σας κάνει εντύπωση. Μπορεί να μη χρησιμοποιήσαμε το λογαριασμό διαχειριστή του συγκεκριμένου μηχανήματος, αλλά συνδεθήκαμε ως ο διαχειριστής ολόκληρου του domain!

Εδώ επιχειρούμε να συνδεθούμε στο λογαριασμό Administrator του domain DELTA. Αυτός ο Administrator αποτελεί διαφορετικό χρήστη από τον Administrator που ενδέχεται να προϋπήρχε στο σύστημα. Μιλάμε για τον διαχειριστή ολόκληρου του domain!

Εδώ επιχειρούμε να συνδεθούμε στο λογαριασμό Administrator του domain DELTA. Αυτός ο Administrator αποτελεί διαφορετικό χρήστη από τον Administrator που ενδέχεται να προϋπήρχε στο σύστημα. Μιλάμε για τον διαχειριστή ολόκληρου του domain!

Διαχείριση χρηστών
Εκτός από τον βασιλιά, ένα βασίλειο χρειάζεται και υπηκόους. Ομοίως, εκτός από τον Administrator, το domain που έχουμε στήσει χρειάζεται και απλούς χρήστες, που θα απολαμβάνουν τις υπηρεσίες του Domain controller και του δικτύου (κάτι για το οποίο δεν είμαστε σίγουροι ότι συμβαίνει με τους υπηκόους ενός βασιλείου). Η δημιουργία χρηστών μπορεί να πραγματοποιηθεί με το εργαλείο samba-tool. Ωστόσο, στο ξεκίνημα του άρθρου υποσχεθήκαμε έναν εύκολο τρόπο διαχείρισης του Active Directory. Και μπορεί το samba-tool να μην είναι στριφνό στο χειρισμό, αλλά υπάρχει κάτι πολύ πιο εύχρηστο και φιλικό. Αναφερόμαστε σ’ ένα πακέτο εργαλείων που παρέχει η Microsoft και ονομάζεται “Remote Server Administration Tools”. Το συγκεκριμένο πακέτο διατίθεται δωρεάν για όλες τις εκδόσεις των Windows, από τα XP έως τα 10. Οι αντίστοιχες εκδόσεις του πακέτου βρίσκονται στο Download Center της εταιρείας, στα ακόλουθα URLs:

Μετά την εγκατάσταση του πακέτου των 'Remote Server Administration Tools', πρέπει να προβούμε και στην ενεργοποίηση των αντίστοιχων δυνατοτήτων.

Μετά την εγκατάσταση του πακέτου των ‘Remote Server Administration Tools’, πρέπει να προβούμε και στην ενεργοποίηση των αντίστοιχων δυνατοτήτων.

Έχετε υπόψη ότι η εγκατάσταση του συγκεκριμένου πακέτου δεν μοιάζει με την εγκατάσταση μιας τυπικής εφαρμογής. Θυμίζει περισσότερο την προσθήκη ενός πακέτου αναβάθμισης κι αν αμέσως μετά την εγκατάσταση αναζητήσετε κάτι νέο στα προγράμματα, δεν θα βρείτε τίποτα καινούριο! Αυτό δεν πρέπει να σας ανησυχήσει. Το πακέτο εγκαθίσταται σαν μια πρόσθετη δυνατότητα του λειτουργικού συστήματος και θα πρέπει πρώτα να την ενεργοποιήσουμε. Για το σκοπό αυτό μεταβαίνουμε στην ενότητα “Προγράμματα και Δυνατότητες” του “Πίνακα Ελέγχου” κι επιλέγουμε το “Ενεργοποίηση ή απενεργοποίηση δυνατοτήτων των Windows”. Από το δέντρο των δυνατοτήτων πρέπει να εντοπίσουμε και να ενεργοποιήσουμε το στοιχείο “Active Directory Administrative Center”. Μετά από αυτό το βήμα, αν επισκεφθούμε τα “Εργαλεία Διαχείρισης” του “Πίνακα Ελέγχου”, θα διαπιστώσουμε με χαρά ότι έχουν προστεθεί καινούρια εργαλεία.

Εφόσον τα ενεργοποιήσουμε, τα εργαλεία που προσθέτει το πακέτο 'Remote Server Administration Tools' εμφανίζονται στην ενότητα 'Εργαλεία διαχείρισης' του 'Πίνακα Ελέγχου'.

Εφόσον τα ενεργοποιήσουμε, τα εργαλεία που προσθέτει το πακέτο ‘Remote Server Administration Tools’ εμφανίζονται στην ενότητα ‘Εργαλεία διαχείρισης’ του ‘Πίνακα Ελέγχου’.

Για την προσθήκη νέων χρηστών στο domain χρειαζόμαστε το εργαλείο “Active Directory Users & Computers”. Μόλις το τρέξουμε θα εμφανιστεί ένα παράθυρο και στο αριστερό του τμήμα θα δούμε ένα στοιχείο με το όνομα του domain μας. Σε αυτή τη θέση εμείς συναντήσαμε το “delta.local”. Με ένα κλικ στο όνομα του domain, ξεδιπλώνεται από κάτω ένα δέντρο επιλογών. Επιλέγοντας από εκεί Users, στο δεξιό τμήμα του παραθύρου θα εμφανιστεί μια λίστα με τους χρήστες και τις ομάδες που υπάρχουν ήδη στο domain. Για να δημιουργήσουμε έναν νέο χρήστη, κάνουμε δεξί κλικ και επιλέγουμε το “Δημιουργία Χρήστη”. Αυτό θα έχει σαν συνέπεια την εμφάνιση ενός μικρού οδηγού. Μη φανταστείτε κανέναν ενοχλητικό “Μάγο”, με ατελείωτα περιττά βήματα, που θα μας ζητά να πατάμε διαρκώς το κουμπί “Επόμενο”. Ο οδηγός που εμφανίζεται περιλαμβάνει μόλις δύο βήματα και ζητάει τα απολύτως απαραίτητα (όνομα χρήση και username, κωδικό κ.ά).

Με τη βοήθεια του 'Active Directory Users & Computers' μπορούμε να δημιουργήσουμε νέους χρήστες και ομάδες χρηστών ή να αλλάξουμε τις ρυθμίσεις αυτών που υπάρχουν ήδη.

Με τη βοήθεια του ‘Active Directory Users & Computers’ μπορούμε να δημιουργήσουμε νέους χρήστες και ομάδες χρηστών ή να αλλάξουμε τις ρυθμίσεις αυτών που υπάρχουν ήδη.

Μόλις ολοκληρώσουμε τα βήματα του οδηγού, ο νέος λογαριασμός θα εμφανιστεί στη λίστα με τους υπάρχοντες. Από εκεί, πλέον, μπορούμε να τροποποιήσουμε περισσότερες ρυθμίσεις αναφορικά με το συγκεκριμένο χρήστη. Αρκεί να κάνουμε διπλό κλικ επάνω στο όνομά του. Το παράθυρο που εμφανίζεται περιλαμβάνει πολλές καρτέλες, με πάμπολλες ρυθμίσεις που δεν θα είχε νόημα να αραδιάσουμε εδώ. Ενδιαφέρον παρουσιάζει η καρτέλα “Member Of”, από την οποία μπορούμε να ορίσουμε τις ομάδες χρηστών (user groups) στις οποίες συμμετέχει ο χρήστης. Η χρήση των ομάδων επιτρέπει στον Adinistrator να διαχειρίζεται τα δικαιώματα πρόσβασης πολλών χρηστών ταυτόχρονα, χωρίς να επαναλαμβάνει τις ίδιες και τις ίδιες ρυθμίσεις, για τον καθένα ξεχωριστά. Τέλος, ιδιαίτερο ενδιαφέρον παρουσιάζει και η καρτέλα “Profile”. Από εκεί μπορούμε να ενεργοποιήσουμε τη λειτουργία Roaming Profile για το συγκεκριμένο χρήστη. Για να πετύχουμε κάτι τέτοιο, πρέπει να ορίσουμε ένα δικτυακό φάκελο, στον οποίο θα αποθηκεύονται τα αρχεία και οι ρυθμίσεις του χρήστη. Αναφερόμαστε στο λεγόμενο “Profile Path”. Εμείς, για τον λογαριασμό Administrator ορίσαμε τον κατάλογο \samba\Users\Administrator. Να θυμίσουμε ότι samba είναι το hostname του Domain controller μας, ενώ Users είναι το όνομα που δώσαμε στο δικτυακό πόρο που εξυπηρετεί ο Samba server και βρίσκεται στη θέση /home/Users, του server. Εκεί μέσα δεν υπάρχει κατάλογος Administrator αλλά, όπως υποψιάζεστε, θα δημιουργηθεί αυτόματα από τον Domain controller.

Ολοκληρώνοντας
Τώρα μπορούμε να αποσυνδεθούμε από το μηχάνημα με τα Windows και να συνδεθούμε ξανά στον server, για να δούμε τι συνέβη όλη αυτή την ώρα. Εμείς μεταβήκαμε στον κατάλογο /home/Users, εκτελέσαμε το ls και διαπιστώσαμε ότι είχε δημιουργηθεί ένας κατάλογος ονόματι “Administrator.V2”. Μέσα σε αυτόν υπήρχαν οι κατάλογοι AppData, Έγγραφα, Εικόνες, Λήψεις, Desktop και κάθε άλλο αρχείο που περιλαμβάνεται σε έναν λογαριασμό χρήστη στα Windows. Πριν προχωρήσουμε, αξίζει να σταθούμε σε μια λεπτομέρεια. Αναρωτιέστε από πού προήλθε η κατάληξη “.V2”; Όταν ορίσαμε τη θέση αποθήκευσης των αρχείων για το συγκεκριμένο λογαριασμό χρήστη, δεν δώσαμε τίποτα τέτοιο. Όπως υποψιάζεστε, το “.V2” προστέθηκε αυτόματα από τον Domain controller. Βλέπετε, κατά τη μετάβαση από τα Windows XP στα Windows Vista, το περιεχόμενο και η διάρθρωση των καταλόγων των χρηστών άλλαξαν αρκετά. Η κατάληξη “.V2”, λοιπόν, χρησιμοποιείται για να αποφεύγονται τα μπερδέματα μεταξύ των διαφόρων εκδόσεων των Windows. Όταν ένας λογαριασμός χρήστη του domain συνδέεται σε σύστημα με Vista ή κάτι μεταγενέστερο, χρησιμοποιείται ο κατάλογος με την επέκταση. Αντίθετα, όταν ο ίδιος λογαριασμός χρησιμοποιείται σε σύστημα με Windows XP, τα αρχεία φυλάσσονται στον κατάλογο χωρίς την επέκταση. Εμείς είχαμε κάνεις τις δοκιμές μας από ένα σύστημα με Windows 7 και ακριβώς γι’ αυτό είχε προστεθεί η επέκταση. Αν είχαμε συνδεθεί από κάποιο σύστημα με Windows XP, ο κατάλογος με τα αρχεία του χρήστη θα είχε το όνομα “Administrator” — σκέτο.

Από την καρτέλα account μπορούμε να τροποποιήσουμε όλες τις ρυθμίσεις ενός λογαριασμού χρήστη. Για παράδειγμα, μπορούμε να καθορίσουμε τα μηχανήματα από τα οποία θα επιτρέπεται η σύνδεση -- ή ακόμα και να την περιορίσουμε σε συγκεκριμένα 'χρονικά παράθυρα' της ημέρας.

Από την καρτέλα account μπορούμε να τροποποιήσουμε όλες τις ρυθμίσεις ενός λογαριασμού χρήστη. Για παράδειγμα, μπορούμε να καθορίσουμε τα μηχανήματα από τα οποία θα επιτρέπεται η σύνδεση — ή ακόμα και να την περιορίσουμε σε συγκεκριμένα ‘χρονικά παράθυρα’ της ημέρας.

Με την υποδομή που έχουμε συγκροτήσει μπορούμε να φτιάξουμε κι άλλους κοινόχρηστους φακέλους, πέρα από αυτούς που αξιοποιεί ο Domain controller και για κάθε χρήστη. Για παράδειγμα, μπορούμε να φτιάξουμε έναν κατάλογο στον οποίο θα έχουν πρόσβαση όλοι οι χρήστες και θα τον χρησιμοποιούν για τον ελεύθερο διαμοιρασμό αρχείων. Το πώς μπορούμε να δημιουργήσουμε έναν κοινόχρηστο πόρο το είδαμε νωρίτερα. Αρκεί να φτιάξουμε έναν κατάλογο, να του δώσουμε τα επιθυμητά δικαιώματα πρόσβασης και στη συνέχεια να ενημερώσουμε κατάλληλα τον Samba server. Αυτό προϋποθέτει να προσθέσουμε μια ακόμα ενότητα, σαν αυτή που είδαμε παραπάνω, με τον τίτλο [Users].

Η καρτέλα profile μοιάζει σχεδόν αδιάφορη, αλλά διαθέτει μια ρύθμιση που ενεργοποιεί τη δυνατότητα του Roaming Profile για τον επιλεγμένο χρήστη. Αρκεί να δηλώσουμε έναν κατάλογο, σε κάποιο διαμοιραζόμενο δικτυακό πόρο.

Η καρτέλα profile μοιάζει σχεδόν αδιάφορη, αλλά διαθέτει μια ρύθμιση που ενεργοποιεί τη δυνατότητα του Roaming Profile για τον επιλεγμένο χρήστη. Αρκεί να δηλώσουμε έναν κατάλογο, σε κάποιο διαμοιραζόμενο δικτυακό πόρο.

Πραγματοποιήσαμε εκτεταμένες δοκιμές στο τοπικό μας δίκτυο και μείναμε απόλυτα ικανοποιημένοι. Μάλιστα, ο γράφων έχει αρκετή εμπειρία από τη διαχείριση δικτύων που βασίζονται σε Windows Server και οφείλει να σημειώσει ότι ο συνδυασμός Kerberos με Samba φαίνεται να λειτουργεί ταχύτερα και ομαλότερα. Τελικά, ακόμα κι αν έχετε ένα δίκτυο με μηχανήματα που τρέχουν Windows, το Linux μπορεί να προσφέρει πολλές υπηρεσίες και είναι σίγουρο ότι θα σας εντυπωσιάσει.

Για την τήρηση των δεδομένων κάθε χρήστη του domain, δημιουργούνται δύο ξεχωριστοί φάκελοι. Οι φάκελοι με το επίθεμα '.V2' διατηρούν τα δεδομένα του εκάστοτε λογαριασμού, για τα μηχανήματα που τρέχουν Windows Vista ή κάτι μεταγενέστερο.

Για την τήρηση των δεδομένων κάθε χρήστη του domain, δημιουργούνται δύο ξεχωριστοί φάκελοι. Οι φάκελοι με το επίθεμα ‘.V2’ διατηρούν τα δεδομένα του εκάστοτε λογαριασμού, για τα μηχανήματα που τρέχουν Windows Vista ή κάτι μεταγενέστερο.

2 Responses to “Υπηρεσίες Active Directory, χωρίς active-τσέπη [μέρος 2/2]”

  1. nkoasidis | 27/02/2016 at 20:05

    Πολυ ωραίο αρθρό για το AD που το χρησιμοποιούμε στην εταιρεία.Πέτρο εάν σου είναι εύκολο να μπορούσες να το ολοκληρώσεις και μ’ένα τρίτο μέρος όπου θα έβαζες έναν additional domain controller ώστε σε περίπτωση που θα πέσει ο πρώτος να υπάρχει ο δεύτερος.συγχρητηρια.

    Περιμένω και το τρίτο μέρος good work

  2. sip03ds | 02/03/2016 at 15:09

    Πολύ καλό άρθρο !!! Θα ήθελα και εγώ να δω ένα τρίτο άρθρο με redundant domain controller.

    Επιπλέον έχω την εξής απορία, στο native Windows AD, απαιτείται να έχεις σηκώσει DNS server, γι αυτό όταν κάνεις register νέα μηχανήματα στο AD τότε προστίθενται κανονικά στον DNS.
    Αν τρέχεις εσωτερικά bind σε διαφορετικό server, τότε πως ανανεώνονται τα zone files στον bind ;

    Υπάρχει η δυνατότητα να περάσεις το configuration του Samba σε LDAP και να έχεις το ίδιο username/password και για Windows και για Linux;

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων