SUSE Linux Enterprise Desktop dokumentáció 12. fejezet - Active Directory-támogatás / 12.2. Háttérinformáció a linuxos AD-támogatáshoz
	12. fejezet - Active Directory-támogatás		12.3. Linux-kliens beállítása Active Directoryhoz

Háttérinformáció a linuxos AD-támogatáshozHáttérinformáció a linuxos AD-támogatáshoz

Számos rendszerkomponensnek kell együttműködnie problémamentesen ahhoz, hogy egy linuxos kliens hibátlanul integrálható legyen egy meglévő Windows Active Directory tartományba. Az 12.1. ábra - Active Directory hitelesítési séma ábra a legfontosabbakat mutaja ezek közül. Az alábbi szakaszok az AD-kiszolgáló és a kliens együttműködése során történő legfontosabb események mögötti folyamatokat írják le.

12.1. ábra - Active Directory hitelesítési séma

Ahhoz, hogy kommunikálni tudjon a címtárszolgáltatással, a kliensnek a kiszolgáló legalább két protokollját ismernie kell:

LDAP: Az LDAP a címtáradatok kezeléséhez optimalizált protokoll. Az AD-s Windows-tartományvezérlő képes használni az LDAP protokollt arra, hogy a kliensekkel megossza a címtár adatait. További részletek az LDAP-ről általában, illetve nyílt forráskódú változatáról, az OpenLDAP-ról: 35. fejezet - LDAP – címtárszolgáltatás.
Kerberos: A Kerberos egy megbízható külső hitelesítési szolgáltatás. Minden kliense megbízik abban, hogy a Kerberos képes megállapítani a többi kliens azonosságát, és így kialakíthatók a Kerberosra felkészített egypontos bejelentkezési (single-sign-on, SSO) megoldások. A Windows támogatja a Kerberos-implementációkat, és a Kerberos SSO még akár linuxos kliensekkel is megvalósítható. További részletek a Linux alatt használt Kerberosról: 41. fejezet - Hálózati hitelesítés – Kerberos.

A fiók- és hitelesítési adatokat az alábbi klienskomponensek dolgozzák fel:

Winbind: A megoldás központi része a Samba projekt részeként elkészült winbind démon, amely az AD-kiszolgálóval folytatott teljes kommunikációt kezeli.
NSS (Name Service Switch, névszolgáltatási kapcsoló): Az NSS rutinjai biztosítják a névszolgáltatás adatait. A felhasználók és csoportok névszolgáltatását az nss_winbind biztosítja. Ez a modul közvetlenül a winbind démonnal működik együtt.
PAM (Pluggable Authentication Modules, cserélhető hitelesítési modulok): Az AD-felhasználók hitelesítését a pam_winbind modul végzi. Az AD felhasználók linuxos saját könyvtárainak létrehozásáért a Linux-kliensen a pam_mkhomedir felelős. A pam_winbind modul közvetlenül a winbindd-hez kapcsolódik. További részletek a PAM-ról általában: 24. fejezet - Hitelesítés PAM használatával.

A PAM használatára felkészített alkalmazások, például a bejelentkezési rutinok, valamint a GNOME és KDE képernyőkezelők, a PAM-mal és az NSS-réteggel kommunikálnak közvetlenül, hogy hitelesítést bizotsítsanak a windowsos kiszolgálóhoz. A Kerberos-hitelesítést támogató alkalmazások, így például a fájlkezelők, a webböngészők, illetve az e-mail kliensek a Kerberos hitelesítésiadat-gyorsítótárát használják a felhasználók Kerberos-jegyeinek gyorsabb eléréséhez, így ők is élvezhetik az SSO-keretrendszer előnyeit.

Csatlakozás egy tartományhozCsatlakozás egy tartományhoz

A tartományhoz csatlakozás során a kiszolgáló és a kliens biztonságos kapcsolatot létesít. A kliens oldalán a következő feladatokat kell elvégezni ahhoz, hogy beléphessen a Windows-tartományvezérlő által biztosított LDAP és Kerberos SSO-környezetbe. A teljes csatlakozási folyamat levezényelhető a YaST tartománytagsági moduljából, amely futtatható akár telepítés közben, akár a már telepített rendszeren:

Ki kell keresni az LDAP és KDC (Key Distribution Center) szolgáltatásokat biztosító Windows-tartományvezérlőt.
Létrejön egy számítógépfiók a címtárszolgáltatásban a csatlakozó klienshez.
A kliens kap egy kezdeti jegyengedélyező jegyet (ticket granting ticket, TGT) és eltárolja a helyi Kerberos hitelesítési adattárában. A kliens a TGT-vel tud további jegyeket kérni az egyéb szolgáltatásokhoz csatlakozáshoz, például a címtárkiszolgáló LDAP-n keresztüli lekérdezéséhez.
Az NSS- és PAM-konfigurációk megfelelően módosulnak, hogy a kliens jogosult legyen hitelesíteni magát a tartományvezérlőn.

A kliens indításakor elindul a winbind démon és lekéri a gép fiókjához tartozó kezdeti Kerberos-jegyet. A winbindd automatikusan frissíti a gép jegyét, hogy érvényes maradjon. Az aktuális fiók irányelvek követéséhez a winbindd időről-időre lekérdezi a tartományvezérlőt.

Bejelentkezés a tartományba és a felhasználói könyvtárakBejelentkezés a tartományba és a felhasználói könyvtárak

A GNOME és KDE bejelentkezéskezelői (a GDM és KDM) ki lettek bővítve, hogy megbirkózzanak az AD-tartományokba bejelentkezéssel is. A felhasználók kiválaszthatják, hogy az elsődleges tartományba kívánnak bejelentkezni, amelyhez a gép csatlakozott, vagy valamelyik megbízható tartományba, amellyel az elsődleges tartomány tartományvezérlője bizalmi kapcsolatot létesített.

A felhasználói hitelesítést egy sor PAM-modul intézi. Ennek leírása: 12.2. szakasz - Háttérinformáció a linuxos AD-támogatáshoz. A kliensek Active Directory vagy NT4 tartományokhoz hitelesítésére szolgáló pam_winbind modul ismeri az összes olyan windowsos hibaállapotot, amely megakadályozhatja egy felhasználó bejelentkezését. A Windows hibakódjai megfelelő, a felhasználó által olvasható hibaüzenetekké fordulnak át, és a PAM ezeket jeleníti meg a támogatott módszerekkel (GDM, KDM, konzol és SSH) történő bejelentkezéskor:

A jelszó lejárt: A felhasználó egy üzenetet lát, amely jelzi, hogy a jelszó lejárt és meg kell változtatni. A rendszer rögtön az új jelszót kéri be, és jelzi a felhasználónak, ha az új jelszó nem felel meg a vállalati jelszóirányelveknek (például túl rövid, túl egyszerű, vagy nemrégiben használatban volt). Ha a felhasználó jelszómódosítása nem sikerül, megjelenik az ok, és újra meg kell adni az új jelszót.
Fiók letiltva: A felhasználó egy hibaüzenetet lát, amely azt jelzi, hogy a fiók le lett tiltva, és hogy keresse meg a rendszergazdát.
Fiók kizárva: A felhasználó egy hibaüzenetet lát, amely azt jelzi, hogy a fiók ki lett zárva, és hogy keresse meg a rendszergazdát.
A jelszót meg kell változtatni: A felhasználó bejelentkezhet, de figyelmeztetést kap, hogy a jelszót rövidesen meg kell változtatni. Ez a figyelmeztetés a jelszó lejárata előtt három nappal jelenik meg. A lejárat után a felhasználó már nem fog tudni újra bejelentkezni.
Érvénytelen munkaállomás: Ha a felhasználó csak meghatározott munkaállomásról jogosult bejelentkezni és az aktuális SUSE Linux Enterprise gép nem szerepel a listában, akkor egy üzenet jelenik meg, hogy a felhasználó erről a munkaállomásról nem jelentkezhet be.
Érvénytelen bejelentkezési idő: Ha a felhasználó csak meghatározott munkaidőben jogosult bejelentkezni és munkaidőn kívül próbálja meg, akkor egy üzenet jelenik meg, hogy a felhasználó ebben az időpontban nem jelentkezhet be.
Fiók lejárt: A rendszergazda beállíthat lejárati időt az egyes felhasználói fiókokhoz. Ha ezen idő lejárta után próbál bejelentkezni a felhasználó, akkor üzenetet kap, hogy a fiók lejárt és nem használható bejelentkezésre.

Sikeres hitelesítés után a pam_winbind kap egy jegyengedélyező jegyet (TGT) az Active Directory Kerberos-kiszolgálójától, amelyet eltárol a felhasználó hitelesítési adattárában. A modul ügyel arra is, hogy a háttérben megújítsa a TGT-t, a felhasználó közreműködése nélkül.

A SUSE Linux Enterprise támogatja a helyi saját könyvtárak használatát AD-felhasználók számára. Ennek beállítása a YaST-tal történik (leírását lásd: 12.3. szakasz - Linux-kliens beállítása Active Directoryhoz). A felhasználói saját könyvtárak akkor jönnek létre, amikor a Windows (AD-) felhasználó először jelentkezik be a Linux-kliensen. Ezek a saját könyvtárak pontosan ugyanúgy néznek ki, mint a normál Linux-felhasználók saját könyvtárai, és működésük független az AD-tartományvezérlőtől. A helyi felhasználó saját könyvtárában megoldható a felhasználó ezen a gépen található adatainak elérése akkor is, ha az AD-kiszolgáló nem elérhető, feltéve, hogy a Linux-kliens be lett állítva offline hitelesítéshez.

Offline szolgáltatás és az irányelvek támogatásaOffline szolgáltatás és az irányelvek támogatása

A vállalati környezetben dolgozó felhasználók számára is fontos igény, hogy eltávolodhassanak a munkahelyüktől és mozoghassanak: válthassanak hálózatokat vagy éppen dolgozhassanak egy ideig a hálózatról lekapcsolódva. Ahhoz, hogy be lehessen jelentkezni lekapcsolt módban is, a winbind démon sokoldalú gyorsítótárazási funkciókkal bővült. A winbind démon kikényszeríti a jelszóirányelvek használatát offline állapotban is. Figyeli a sikertelen bejelentkezési kísérletek számát, és az Active Directory irányelveiben beállított módon reagál. Az offline támogatás alapértelmezés szerint ki van kapcsolva, és külön kell engedélyezni a YaST tartománytagság moduljában.

Csakúgy, mint Windows alatt, attól, hogy a tartományvezérlő elérhetetlenné válik, a felhasználó továbbra is eléri a hálózati erőforrásokat (már persze magán az AD-kiszolgálón kívül), feltéve, hogy szerzett érvényes Kerberos-jegyeket a kapcsolat elvesztése előtt. A jelszómódosítások viszont nem dolgozhatók fel addig, amíg a tartományvezérlő újra el nem érhető. Az AD-kiszolgálóról lekapcsolt módban a felhasználó nem tudja elérni a kiszolgálón tárolt adatokat. Ha a munkaállomás teljesen lekapcsolódott a hálózatról és később újra kapcsolódik a vállalati hálózathoz, a SUSE Linux Enterprise új Kerberos-jegyet kér azonnal, ha a felhasználó lezárja és feloldja az asztali környezetet (például egy képernyővédő használatával).