SUSE Linux Enterprise Desktop dokument�ci� 12. fejezet - Active Directory-t�mogat�s�/�12.2. H�tt�rinform�ci� a linuxos AD-t�mogat�shoz
	12. fejezet - Active Directory-t�mogat�s		12.3. Linux-kliens be�ll�t�sa Active Directoryhoz

H�tt�rinform�ci� a linuxos AD-t�mogat�shozH�tt�rinform�ci� a linuxos AD-t�mogat�shoz

Sz�mos rendszerkomponensnek kell egy�ttműk�dnie probl�mamentesen ahhoz, hogy egy linuxos kliens hib�tlanul integr�lhat� legyen egy megl�vő Windows Active Directory tartom�nyba. Az 12.1. �bra - Active Directory hiteles�t�si s�ma �bra a legfontosabbakat mutaja ezek k�z�l. Az al�bbi szakaszok az AD-kiszolg�l� �s a kliens egy�ttműk�d�se sor�n t�rt�nő legfontosabb esem�nyek m�g�tti folyamatokat �rj�k le.

12.1. �bra - Active Directory hiteles�t�si s�ma

Ahhoz, hogy kommunik�lni tudjon a c�mt�rszolg�ltat�ssal, a kliensnek a kiszolg�l� legal�bb k�t protokollj�t ismernie kell:

LDAP: Az LDAP a c�mt�radatok kezel�s�hez optimaliz�lt protokoll. Az AD-s Windows-tartom�nyvez�rlő k�pes haszn�lni az LDAP protokollt arra, hogy a kliensekkel megossza a c�mt�r adatait. Tov�bbi r�szletek az LDAP-ről �ltal�ban, illetve ny�lt forr�sk�d� v�ltozat�r�l, az OpenLDAP-r�l: 35. fejezet - LDAP – c�mt�rszolg�ltat�s.
Kerberos: A Kerberos egy megb�zhat� k�lső hiteles�t�si szolg�ltat�s. Minden kliense megb�zik abban, hogy a Kerberos k�pes meg�llap�tani a t�bbi kliens azonoss�g�t, �s �gy kialak�that�k a Kerberosra felk�sz�tett egypontos bejelentkez�si (single-sign-on, SSO) megold�sok. A Windows t�mogatja a Kerberos-implement�ci�kat, �s a Kerberos SSO m�g ak�r linuxos kliensekkel is megval�s�that�. Tov�bbi r�szletek a Linux alatt haszn�lt Kerberosr�l: 41. fejezet - H�l�zati hiteles�t�s – Kerberos.

A fi�k- �s hiteles�t�si adatokat az al�bbi klienskomponensek dolgozz�k fel:

Winbind: A megold�s k�zponti r�sze a Samba projekt r�szek�nt elk�sz�lt winbind d�mon, amely az AD-kiszolg�l�val folytatott teljes kommunik�ci�t kezeli.
NSS (Name Service Switch, n�vszolg�ltat�si kapcsol�): Az NSS rutinjai biztos�tj�k a n�vszolg�ltat�s adatait. A felhaszn�l�k �s csoportok n�vszolg�ltat�s�t az nss_winbind biztos�tja. Ez a modul k�zvetlen�l a winbind d�monnal műk�dik egy�tt.
PAM (Pluggable Authentication Modules, cser�lhető hiteles�t�si modulok): Az AD-felhaszn�l�k hiteles�t�s�t a pam_winbind modul v�gzi. Az AD felhaszn�l�k linuxos saj�t k�nyvt�rainak l�trehoz�s��rt a Linux-kliensen a pam_mkhomedir felelős. A pam_winbind modul k�zvetlen�l a winbindd-hez kapcsol�dik. Tov�bbi r�szletek a PAM-r�l �ltal�ban: 24. fejezet - Hiteles�t�s PAM haszn�lat�val.

A PAM haszn�lat�ra felk�sz�tett alkalmaz�sok, p�ld�ul a bejelentkez�si rutinok, valamint a GNOME �s KDE k�pernyőkezelők, a PAM-mal �s az NSS-r�teggel kommunik�lnak k�zvetlen�l, hogy hiteles�t�st bizots�tsanak a windowsos kiszolg�l�hoz. A Kerberos-hiteles�t�st t�mogat� alkalmaz�sok, �gy p�ld�ul a f�jlkezelők, a webb�ng�szők, illetve az e-mail kliensek a Kerberos hiteles�t�siadat-gyors�t�t�r�t haszn�lj�k a felhaszn�l�k Kerberos-jegyeinek gyorsabb el�r�s�hez, �gy ők is �lvezhetik az SSO-keretrendszer előnyeit.

Csatlakoz�s egy tartom�nyhozCsatlakoz�s egy tartom�nyhoz

A tartom�nyhoz csatlakoz�s sor�n a kiszolg�l� �s a kliens biztons�gos kapcsolatot l�tes�t. A kliens oldal�n a k�vetkező feladatokat kell elv�gezni ahhoz, hogy bel�phessen a Windows-tartom�nyvez�rlő �ltal biztos�tott LDAP �s Kerberos SSO-k�rnyezetbe. A teljes csatlakoz�si folyamat levez�nyelhető a YaST tartom�nytags�gi modulj�b�l, amely futtathat� ak�r telep�t�s k�zben, ak�r a m�r telep�tett rendszeren:

Ki kell keresni az LDAP �s KDC (Key Distribution Center) szolg�ltat�sokat biztos�t� Windows-tartom�nyvez�rlőt.
L�trej�n egy sz�m�t�g�pfi�k a c�mt�rszolg�ltat�sban a csatlakoz� klienshez.
A kliens kap egy kezdeti jegyenged�lyező jegyet (ticket granting ticket, TGT) �s elt�rolja a helyi Kerberos hiteles�t�si adatt�r�ban. A kliens a TGT-vel tud tov�bbi jegyeket k�rni az egy�b szolg�ltat�sokhoz csatlakoz�shoz, p�ld�ul a c�mt�rkiszolg�l� LDAP-n kereszt�li lek�rdez�s�hez.
Az NSS- �s PAM-konfigur�ci�k megfelelően m�dosulnak, hogy a kliens jogosult legyen hiteles�teni mag�t a tartom�nyvez�rlőn.

A kliens ind�t�sakor elindul a winbind d�mon �s lek�ri a g�p fi�kj�hoz tartoz� kezdeti Kerberos-jegyet. A winbindd automatikusan friss�ti a g�p jegy�t, hogy �rv�nyes maradjon. Az aktu�lis fi�k ir�nyelvek k�vet�s�hez a winbindd időről-időre lek�rdezi a tartom�nyvez�rlőt.

Bejelentkez�s a tartom�nyba �s a felhaszn�l�i k�nyvt�rakBejelentkez�s a tartom�nyba �s a felhaszn�l�i k�nyvt�rak

A GNOME �s KDE bejelentkez�skezelői (a GDM �s KDM) ki lettek bőv�tve, hogy megbirk�zzanak az AD-tartom�nyokba bejelentkez�ssel is. A felhaszn�l�k kiv�laszthatj�k, hogy az elsődleges tartom�nyba k�v�nnak bejelentkezni, amelyhez a g�p csatlakozott, vagy valamelyik megb�zhat� tartom�nyba, amellyel az elsődleges tartom�ny tartom�nyvez�rlője bizalmi kapcsolatot l�tes�tett.

A felhaszn�l�i hiteles�t�st egy sor PAM-modul int�zi. Ennek le�r�sa: 12.2. szakasz - H�tt�rinform�ci� a linuxos AD-t�mogat�shoz. A kliensek Active Directory vagy NT4 tartom�nyokhoz hiteles�t�s�re szolg�l� pam_winbind modul ismeri az �sszes olyan windowsos hiba�llapotot, amely megakad�lyozhatja egy felhaszn�l� bejelentkez�s�t. A Windows hibak�djai megfelelő, a felhaszn�l� �ltal olvashat� hiba�zenetekk� fordulnak �t, �s a PAM ezeket jelen�ti meg a t�mogatott m�dszerekkel (GDM, KDM, konzol �s SSH) t�rt�nő bejelentkez�skor:

A jelsz� lej�rt: A felhaszn�l� egy �zenetet l�t, amely jelzi, hogy a jelsz� lej�rt �s meg kell v�ltoztatni. A rendszer r�gt�n az �j jelsz�t k�ri be, �s jelzi a felhaszn�l�nak, ha az �j jelsz� nem felel meg a v�llalati jelsz�ir�nyelveknek (p�ld�ul t�l r�vid, t�l egyszerű, vagy nemr�giben haszn�latban volt). Ha a felhaszn�l� jelsz�m�dos�t�sa nem siker�l, megjelenik az ok, �s �jra meg kell adni az �j jelsz�t.
Fi�k letiltva: A felhaszn�l� egy hiba�zenetet l�t, amely azt jelzi, hogy a fi�k le lett tiltva, �s hogy keresse meg a rendszergazd�t.
Fi�k kiz�rva: A felhaszn�l� egy hiba�zenetet l�t, amely azt jelzi, hogy a fi�k ki lett z�rva, �s hogy keresse meg a rendszergazd�t.
A jelsz�t meg kell v�ltoztatni: A felhaszn�l� bejelentkezhet, de figyelmeztet�st kap, hogy a jelsz�t r�videsen meg kell v�ltoztatni. Ez a figyelmeztet�s a jelsz� lej�rata előtt h�rom nappal jelenik meg. A lej�rat ut�n a felhaszn�l� m�r nem fog tudni �jra bejelentkezni.
�rv�nytelen munka�llom�s: Ha a felhaszn�l� csak meghat�rozott munka�llom�sr�l jogosult bejelentkezni �s az aktu�lis SUSE Linux Enterprise g�p nem szerepel a list�ban, akkor egy �zenet jelenik meg, hogy a felhaszn�l� erről a munka�llom�sr�l nem jelentkezhet be.
�rv�nytelen bejelentkez�si idő: Ha a felhaszn�l� csak meghat�rozott munkaidőben jogosult bejelentkezni �s munkaidőn k�v�l pr�b�lja meg, akkor egy �zenet jelenik meg, hogy a felhaszn�l� ebben az időpontban nem jelentkezhet be.
Fi�k lej�rt: A rendszergazda be�ll�that lej�rati időt az egyes felhaszn�l�i fi�kokhoz. Ha ezen idő lej�rta ut�n pr�b�l bejelentkezni a felhaszn�l�, akkor �zenetet kap, hogy a fi�k lej�rt �s nem haszn�lhat� bejelentkez�sre.

Sikeres hiteles�t�s ut�n a pam_winbind kap egy jegyenged�lyező jegyet (TGT) az Active Directory Kerberos-kiszolg�l�j�t�l, amelyet elt�rol a felhaszn�l� hiteles�t�si adatt�r�ban. A modul �gyel arra is, hogy a h�tt�rben meg�j�tsa a TGT-t, a felhaszn�l� k�zreműk�d�se n�lk�l.

A SUSE Linux Enterprise t�mogatja a helyi saj�t k�nyvt�rak haszn�lat�t AD-felhaszn�l�k sz�m�ra. Ennek be�ll�t�sa a YaST-tal t�rt�nik (le�r�s�t l�sd: 12.3. szakasz - Linux-kliens be�ll�t�sa Active Directoryhoz). A felhaszn�l�i saj�t k�nyvt�rak akkor j�nnek l�tre, amikor a Windows (AD-) felhaszn�l� elősz�r jelentkezik be a Linux-kliensen. Ezek a saj�t k�nyvt�rak pontosan ugyan�gy n�znek ki, mint a norm�l Linux-felhaszn�l�k saj�t k�nyvt�rai, �s műk�d�s�k f�ggetlen az AD-tartom�nyvez�rlőtől. A helyi felhaszn�l� saj�t k�nyvt�r�ban megoldhat� a felhaszn�l� ezen a g�pen tal�lhat� adatainak el�r�se akkor is, ha az AD-kiszolg�l� nem el�rhető, felt�ve, hogy a Linux-kliens be lett �ll�tva offline hiteles�t�shez.

Offline szolg�ltat�s �s az ir�nyelvek t�mogat�saOffline szolg�ltat�s �s az ir�nyelvek t�mogat�sa

A v�llalati k�rnyezetben dolgoz� felhaszn�l�k sz�m�ra is fontos ig�ny, hogy elt�volodhassanak a munkahely�ktől �s mozoghassanak: v�lthassanak h�l�zatokat vagy �ppen dolgozhassanak egy ideig a h�l�zatr�l lekapcsol�dva. Ahhoz, hogy be lehessen jelentkezni lekapcsolt m�dban is, a winbind d�mon sokoldal� gyors�t�t�raz�si funkci�kkal bőv�lt. A winbind d�mon kik�nyszer�ti a jelsz�ir�nyelvek haszn�lat�t offline �llapotban is. Figyeli a sikertelen bejelentkez�si k�s�rletek sz�m�t, �s az Active Directory ir�nyelveiben be�ll�tott m�don reag�l. Az offline t�mogat�s alap�rtelmez�s szerint ki van kapcsolva, �s k�l�n kell enged�lyezni a YaST tartom�nytags�g modulj�ban.

Csak�gy, mint Windows alatt, att�l, hogy a tartom�nyvez�rlő el�rhetetlenn� v�lik, a felhaszn�l� tov�bbra is el�ri a h�l�zati erőforr�sokat (m�r persze mag�n az AD-kiszolg�l�n k�v�l), felt�ve, hogy szerzett �rv�nyes Kerberos-jegyeket a kapcsolat elveszt�se előtt. A jelsz�m�dos�t�sok viszont nem dolgozhat�k fel addig, am�g a tartom�nyvez�rlő �jra el nem �rhető. Az AD-kiszolg�l�r�l lekapcsolt m�dban a felhaszn�l� nem tudja el�rni a kiszolg�l�n t�rolt adatokat. Ha a munka�llom�s teljesen lekapcsol�dott a h�l�zatr�l �s k�sőbb �jra kapcsol�dik a v�llalati h�l�zathoz, a SUSE Linux Enterprise �j Kerberos-jegyet k�r azonnal, ha a felhaszn�l� lez�rja �s feloldja az asztali k�rnyezetet (p�ld�ul egy k�pernyőv�dő haszn�lat�val).