Salamlar hər kəsə,
Bu praktik məqalədə Fedora Linux iş yerlərinin ( workstation) Microsoft AD mühitində sazlanmalarını göstərməyə çalışacağıq. Məqalə 2 hissədən ibarət olacaq və aşağıdakı sazlamaları özündə əks etdirəcək:
– Fedora-nın AD-ə qoşulması ( workstation)
– Exchange və Lync/OCS serverlərlə işin sazlanması.
Qeyd etmək istərdim ki group policy anlayışları hələki Linux maşınlara tam şəkildə tətbiq olunmur, bu səbəbdən məqalə bu mövzunu əhatə etmir.

Məqalə üçün bəzi servizlərin öncədən sazlanması tələb olunur, əgər sizdə hazır mühit yoxdursa, hazırlanması üçün Technet-də artıq mövcud məqalələrdən istifadə edə bilərsiniz:
– Fedora 20 ( və ya onun üzərində yığılan digər distributivlər) – yüklənmə kifayət qədər intuitiv olduğu üçün ətraflı təsvir olunmur;
– Exchange 2010 – Sazlanması ilə bağlı – http://goo.gl/8tqzQo ;
– LCS(OCS) 2007 -2013 – Sazlanması ilə bağlı – http://goo.gl/H0X9LR ;
– AD Domain – Sazlanması  ilə bağlı – http://goo.gl/Ep30Gg ;

Bölüm 1.   Fedora-nın AD-ə qoşulması

İlk öncə onu bildirim ki , Linux ƏS-ərinin AD-ə qoşulması heç vaxt asan tələb olmayıb. İstər Samba+WINBIND kombinasiyasının manual sazlanması,  istərsə də Likewise, Centrify kimi 3-cü tərəflərin alətləri hətta təcrübəli administratorlar üçün də   bəzən çətinliklər yaradır. Bunları nəzərə alan Redhat, bu prosesi asanlaşdırmaq üçün realmd  program paketini hazırlayıb – biz bu gün bu alətin istifadəsini nümayiş etdirəcəyik.

Bu bölümün nəticəsi olaraq, biz domene qoşulmuş Fedora maşınına AD istifadəçisi vasitəsilə istər local, istərsə də SSH vasitəsilə qoşula biləcəyik.

Öncə Fedorada lazım olan paketləri yükləyirik:

[farid@fed20 ~]$ sudo yum install realmd oddjob oddjob-mkhomedir sssd adcli samba-common -y


Bütün digər AD klientləri kimi , Fedoranın da AD-yə qoşula bilməsi üçün Kerberos servizlərini DNS vasitəsilə tapması vacibdir, buna görə də ƏS-nin DNS-ini domain controllerə yönəldirik:

[farid@fed20 ~]$ cat /etc/resolv.conf
# nameserver - DNS serverin unvanı, search- domenin adı
nameserver 192.168.100.200
search technet.az

Lazımi paketləri yüklədikdən sonra, ilk AD domeninin client maşınından əlçatan olub-olmamasını yoxlayırıq. Komandanın uğurlu nəticəsi olaraq, aşağıdakı informasiya ekranda əks olunacaq:

[farid@fed20 ~]$ sudo realm discover -v technet.az
* Resolving: _ldap._tcp.technet.az
* Performing LDAP DSE lookup on: 192.168.100.200
* Successfully discovered: technet.az
technet.az
type: kerberos
realm-name: TECHNET.AZ
domain-name: technet.az
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common

Artıq domene qoşula bilərik. Bunun üçün aşağıdakı komandanı icra edirik:

[root@fed20 farid]# sudo realm join -v technet.az -U [email protected]
* Resolving: _ldap._tcp.technet.az
* Performing LDAP DSE lookup on: 192.168.100.200
* Successfully discovered: technet.az
Password for [email protected]:
* Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.DU21HX -U [email protected] ads join technet.az
Using short domain name -- TECHNET
Joined 'FED20' to dns domain 'technet.az'
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.DU21HX -U [email protected] ads keytab create
Enter [email protected]'s password:
* /usr/bin/systemctl enable sssd.service
ln -s '/usr/lib/systemd/system/sssd.service' '/etc/systemd/system/multi-user.target.wants/sssd.service'
* /usr/bin/systemctl restart sssd.service
* /usr/bin/sh -c /usr/sbin/authconfig --update --enablesssd --enablesssdauth --enablemkhomedir --nostart && /usr/bin/systemctl enable oddjobd.service && /usr/bin/systemctl start oddjobd.service
* Successfully enrolled machine in realm

Domene qoşulma prosesi uğurlu olsa, komandanın nəticəsi olaraq “Successfully enrolled machine in realm” cümləsi ekrana çıxmalıdır.
Artıq Fedora iş yeri domene qoşulub, avtorizasiyanı yoxlaya bilərik – bunun üçün SSH-dən və ya GUİ-dən istifadə edə bilərsiniz:
[farid@fedora ~]$ ssh 192.168.100.184 -l [email protected]
[email protected]@192.168.100.184's password:
Creating home directory for [email protected].
Last login: Sat Jun 28 22:32:40 2014 from 192.168.100.1
klist komandası vasitəsilə KERBEROS ticketlərinin statusuna baxırıq:
[[email protected]@fed20 ~]$ klist
Ticket cache: KEYRING:persistent:1252600500:krb_ccache_wpWxMsL
Default principal: [email protected]
Valid starting Expires Service principal
06/28/2014 23:12:03 06/29/2014 09:12:03 krbtgt/[email protected]
renew until 07/05/2014 23:12:03

Bununla Fedoranın domenə qoşulma hissəsini yekunlaşmış hesab etmək olar, növbəti bölümdə digər email və messaging clientlərinin sazlanmasına baxacağıq.