Related Posts Plugin for WordPress, Blogger...

網管人雜誌

本文刊載於 網管人雜誌第 57 期 - 2010 年 10 月 1 日出刊,NetAdmin 網管人雜誌 為一本介紹 Trend Learning 趨勢觀念、Solution Learning 解決方案、Technology Learning 技術應用的雜誌,下列筆記為本站投稿網管人雜誌獲得刊登的文章,網管人雜誌於每月份 1 日出刊您可於各大書店中看到它或透過下列圖示連結至博客來網路書店訂閱它。

文章目錄

1、前言
2、實作環境
3、OpenSUSE 設定
          步驟1. 加入 Windows Active Directory 網域
4、Windows AD 伺服器設定
          步驟1. 確定 OpenSUSE 主機加入網域
          步驟2. 建立 Windows 網域使用者帳號
5、測試 - 使用 Windows 網域使用者帳號登入 OpenSUSE 主機

1、前言

系統的管理帳號統一集中管理一直是IT管理人員的首要,試想若您的企業環境中沒有實作帳號集中統一認證的機制,而您的企業環境中除了 Windows Server 之外尚有其它異質作業系統例如 Solaris、Linux、FreeBSD…等舉例來說在您的企業環境中有20 台 Linux Server 好了,則當每次有 IT 管理人員加入或離職時您便需要到每一台 Linux Server 進行帳號的建立及刪除,或者貴公司資訊安全政策訂定每月均需要變更管理密碼時您也需要進行此一繁鎖的動作,又或者其它新加入的專案需要新增Linux Server時您便需要新增所有 IT 管理帳號,因此我們可以了解到若企業環境中未實作帳號統一集中管理驗證機制時,則光是管理使用者帳號及密碼的維護就會耗費 IT 人員相當的時間。

Windows Active Directory (AD) 為整合基於 LDAP, Kerberos 的網路認證協定,本次實作即為將 OpenSUSE 主機加入 Windows 2003 Server 所建立的 Windows AD 網域環境中,當OpenSUSE 主機加入 Windows 網域成功之後您便可使用 Windows 網域使用者帳號來登入 OpenSUSE 主機,簡單來說也就是將 OpenSUSE 帳號及密碼驗證的任務交由 Windows AD 來執行,達成帳號密碼集中統一管理的目的。

OpenSUSE 主機加入 Windows AD 的好處如下:

瀏覽 Windows AD 網域中分享的資料夾及檔案
OpenSUSE 主機可操作 Gnome File Manger 或 KDE Konqueror 透過 SMB (Server Message Block) / CIFS (Common Internet File System) 網路傳輸協定來瀏覽及存取 Windows AD 網域中分享的資料夾及檔案。

分享資料夾及檔案給 Windows AD 網域
OpenSUSE 主機可操作 Gnome File Manger 或 KDE Konqueror 透過 SMB (Server Message Block) / CIFS (Common Internet File System) 網路傳輸協定來分享本機資料夾及檔案給 Windows AD 網域主機存取。

存取 Windows AD 中使用者帳戶資料
OpenSUSE 主機可以透過內建工具 Nautilus/Konqueror 輕易修改他們在 Windows AD 中使用者帳戶資料而不需要再次輸入密碼。

離線驗證機制
使 OpenSUSE 主機支援離線驗證機制 (Offline Authentication) 即使 OpenSUSE 主機網路斷線無法與 Windows AD 網域主機溝通或者 Windows AD 網域主機損壞時仍能順利使用 Windows AD 網域帳號登入。

變更 Windows AD 網域使用者密碼
雖然登入 OpenSUSE 主機的使用者帳號及密碼儲存於 Windows AD 網域主機中,但 OpenSUSE 主機仍可透過內建的 passwd 指令來變更位於Windows AD 網域使用者密碼。

達成單一簽入 SSO (Single-Sign On)
許多應用程式都支援 LDAP, Kerberos 網路認證協定,這表示您只要登入一次即可使用許多服務,而不需要使用某個服務便需要登入一次的麻煩。
圖1、Windows AD 驗證架構圖

上列 Windows AD 驗證架構圖中,相關的元件負責內容。
  • LDAP: Windows DC (Domain Controller) 網域控制站使用 LDAP 協定與 Client 進行目錄 
  • 服務資訊進行交換。
  • Kerberos: Windows 整合 Kerberos 安全驗證機制來驗證 Client 身份進而達成單一簽入 SSO。
  • WinBind: 當 OpenSUSE 主機透過 Samba 與 Windows AD 主機進行資料交換時 WinBind Daemon 是不可或缺的服務。
  • NSS(Name Service Switch): 用來取得 Windows AD 網域中使用者帳號、群組...等資訊。
  • PAM (Pluggable Authentication Modules): 用來取得 Windows AD 網域中使用者的認證、授權機制。

2、實作環境

  • OpenSuse 11 (Hostname 為 suse.weithenn.org)
  • Windows 2003 Server (負責 Active Directory / DNS)
  • Hostname: ad.weithenn.org
  • Domain: weithenn.org
  • Domain Users: weithenn (testing account)

3、OpenSUSE 設定

步驟1. 加入 Windows Active Directory 網域

首先請使用 root 帳號登入 OpenSUSE 主機後點選左下角【Computers】 >> 開啟 【YaST】 >> 【Network Services】 >> 【Windows Domain Membership】。


開啟 Windows Domain Membership 後填入相關資訊及勾選相關項目。
  • Domain or Workgroup 欄位,請填入 Windows AD 網域資訊例如【weithenn.org】。
  • 勾選【Also Use SMB Information for Linux Authentication】選項,以便屆時登入 OpenSUSE 主機的 Domain Users 帳號也能存取 Windows AD 所分享的資料夾。
  • 勾選 【Create Home Directory on Login】選項,以便屆時登入OpenSUSE 主機的 Domain Users 帳號時能自動建立該使用者名稱的使用者家目錄。
  • 勾選【Offline Authentication】選項,以便屆時 OpenSUSE 主機離斷時或 Windows AD 停止服務時仍然能使用 Domain Users 帳號登入 OpenSUSE 主機。


點選【Expert Settings】 (非必要設定),您可設定使用 Windows Domain Users 帳號登入 OpenSUSE 主機時建立使用者帳號時所產生的 UID、GID 範圍。

點選【NTP Configuration】 (非必要設定),您可設定 OpenSUSE 主機與 Windows AD 伺服器進行時間校對,例如此例中輸入 Windows AD 伺服器主機名稱【ad.weithenn.org】。

完成上述相關設定後按下【Finish】,此時系統會跳出加入 Windows AD 網域驗證視窗此時請輸入【Windows AD 網域管理者帳號及密碼】,輸入完畢後按下【OK】鍵順利通過 Windows AD 網域驗證後 OpenSUSE 主機便加入 Windows AD 網域成功,加入成功後系統還貼心的提示您請將 OpenSUSE 主機重新開機。



當 OpenSUSE 主機重新開機完成後,請先使用 root 帳號登入確定 OpenSUSE 主機是否順利取得 Windows AD 網域的相關資訊,請開啟 【User and Group Administration】 項目而其中的 Kerberos 驗證項目即可看到 Windows AD 網域的相關內容,如 Windows AD 網域名稱、Windows DC 網域控制控…等資訊。

4、Windows AD 伺服器設定

步驟1. 確定 OpenSuse 主機加入網域

請使用具有 Windows AD 管理者帳號權限登入 Windows AD 主機後開啟【Active Directory 使用者及電腦】在【Computers】容器中您可看到剛才加入 Windows AD 網域的 OpenSUSE 主機資訊。


步驟2. 建立 Windows 網域使用者帳號

請於 Active Directory 使用者及電腦中建立網域使用者帳號,例如本例為在 IT 部門內建立使用者名稱為【weithenn】的網域使用者帳號並設定登入密碼。


5、測試 – 使用 Windows 網域使用者帳號登入OpenSUSE 主機

現在您可使用 Windows AD 網域使用者帳號及密碼來登入 OpenSUSE 主機,登入 OpenSUSE 主機時您可輸入 Domain Name 加上使用者帳號或 NetBIOS Name 加上使用者帳號來進行登入。

使用 Domain Name 來登入則輸入 【weithenn.org\weithenn】。

使用 NetBIOS Name 來登入則輸入 【WEI\weithenn】。
文章標籤: