Zentyal kasutamine

Sissejuhatus

Zentyal http://www.zentyal.org/ ... põhineb Ubuntu operatsioonisüsteemil. 2016 aasta alguses on kaks võimalust Zentyal kasutamiseks

• Zentyal server
• Zentyal server development edition

Tööpõhimõte

Zentyal'i moodustab kohandatud ja omavahel integreeritud komplekt tuntud vaba tarkvaralisi komponente, Ubuntu, Samba, ISC DHCP, BIND jt. Zentyal'i omadused

• Ubuntu v. 14.04 64 bit operatsioonisüsteem (2016 veebruaris)
• Active Directory (2016 veebruaris Samba v. 4.3.1; kasutatakse eraldi winbindd deemonit, mitte varasemat Samba sisest winbind komponenti)
• omavahel dns update'ide osas koostööd tegevad DHCP ja BIND (AD DNS serverina on kasutusel BIND ja ei kasutata Samba enda DNS komponenti)
• Samba failiserveriga on VFS (Virtual File System) moodulite abil võimalik failisüsteemis toimuvate tegevuste logimine (nt faili kustutamine, moodustamine), ClamAV viirustõrje, nn RecycleBin jms
• GPO (Group Policy Object) abil saab muuta liidestatud arvutite seadistusi ja kaughallata tarkvara
• Epost (Postfix, Dovecot jt)

Active Directory andmebaasi saab redigeerida nii Zentyal veebipõhisest haldusliidesest tekitades organizational uniteid, gruppe, kasutajaid jms; neid tegevusi on samaväärne sooritada mõnest domeeniga liidestatud Windows arvutist nö tavaliste AD halduse tööriistadega (Active Directory Users and Computers, Domains and Names, Group Policy Management).

Zentyal kasutamise ettevalmistamine

Zentyal poolt pakutavad teenused on selles mõttes erilised, et nad ei tegele mitte ühe kitsalt määratled ülesande lahendamisega, vaid moodustavad suure osa mitmest komponendist koosnevast tervikust; muu osa hulka kuuluvad nt kohtvõrgu töökohaarvutid, tulemüür ja varunduslahendus. Zentyal juurutamisel tasub tähelepanu pöörata sellistele asjaoludele

• Zentyal poolt pakutavad teenused - kas ainult AD domeenikontroller ja failiserver või ka nt epost ja kalender
• võrgutopoloogia - kas Zentyal ja töökohaarvutid asuvad samas ip subnetis või on töökohaarvutid jagatud mitmete subnettide vahel; millised on võrgusegmentide vahelised ühendused; kas Zentyal on ise tulemüür/ruuter/nat või kasutatakse iseseisvat tulemüüri
• kas kasutatakse ühte või mitut Zentyal serverit (nt üks operatsioonisüsteem töötab ad domeenikontrollerina, lisaks on kaks failiserveri operatsioonisüsteemi)
• milliseid nimesid seoses Zentyali ja tema teenustega kasutatakse (domeenimi, hostname, NetBIOS name jt)
• planeerida AD domeenikontrolleri organization units, grupid, kasutajad jm struktuur
• millised operatsioonisüsteemid on kasutusel töökohaarvutites
• millised on failiserveri ressurssidele ligipääsemise reeglid erinevate domeeni kasutajate ja gruppide jaoks

Zentyal lahenduse juurutamisel on äärmiselt oluline otsustada enne tegevusi millised nimed võetakse kasutusele, antud juhul on tehtud sellised valikud

• hostname - ad-z1.moraal.local
• domeenime osa - moraal.local
• workgroup - moraal
• AD realm - MORAAL.LOCAL

Zentyal poolt pakutavad teenused ja võrgutopoloogia

Olgu eesmärk pakkuda Zentyal abil kohtvõrgus sellised teenuseid

• AD domeenikontroller
• Failiserver

Teenuseid pakutakse ühel operatsioonisüsteemil töötava Zentyal abil, millel on üks võrguliides

                  internet
                    ...
      
                     |
                   __|__
                  |     | tulemüür
                  |     |
                  |_____|
                     |
                     |
       ---|----------|-----------------|-------------------------|--------------------------|-----
          |                            |                         |                          |
        __|__                        __|__                     __|__                      __|__
       |     |                      |     |                   |     |                    |     |
       |     |                      |     |                   |     |                    |     |
       |_____|                      |_____|                   |_____|                    |_____|

    Zentyal server               töökohaarvuti             töökohaarvuti              töökohaarvuti
  ad-z1.moraal.local         win-7-priit.moraal.local    win-7-mart.moraal.local    win-10-imre.moraal.local

AD kataloogi struktuur

Olgu eesmärk hallata AD domeenikontrolleriga sellised objekte

• ühes kohtvõrgus asuvad töökohaarvutid
• kolme organisatsiooni kasutajad - MORAAL, IMOOL, AUUL (millest ühega MORAAL on seotud töökohaarvutid)
• kasutajatele on kirjeldatud eposti aadressid, quota'd jms

Nt võiks paista tulemus selline

kus

• vaikimisi struktuuri on lisatud Organizational Unit'id MORAAL, AUUL ja IMOOL

Tarkvara paigaldamine ja seadistamine

Zentyal tarkvara jagatakse aadressil http://www.zentyal.org/server/. Enne paigaldamist on vaja teada

• millist hostname ja domeeninime osa hakatakse kasutama, sellest tuleneb ka nn workgroup ('moraal') ja ad realm nimi ('MORAAL.LOCAL') - nt ad-z1.moraal.local
• millist ip aadressi ja default gw'd hakatakse kasutama (parem staatiline ip)

Paigaldamisel kasutatakse Ubuntu praktiliselt installerit ja küsitakse suhteliselt algusel, kas nö tavaline või expert mode, viimasel juhul saab

• seadistada üksikasjalikult kõrvaketta kasutuse, st millised plokkseadmeid kasutatakse, LVM osas jne nagu Ubuntu installer seda ikka võimaldab
• valida, kas paigaldatakse lokaalselt graafiline keskkond
• peale esimest rebooti saab sisse logida konsoolilt ja nt /var/log/syslog sisu põhjal jälgida parasjagu toimuvaid tegevusi, automaatselt lisatakse ja seadistatakse tarkvara

Paigaldamisel tehtud valikud

• käivitatakse nö Ubuntu installer ja valitakse expert mode
• seadistatakse staatiline ip aadress ja nimeserver (tundub, et neid kasutatakse ainult paigalduse ajal, Hostname: ad-z1, Domain name: sise.moraal.ee)
• näidata kasutajanimi, nt 'kasutaja', ja parool
• seadistada plokkseadme kasutus (nt LVM abil /dev/system/swap, /dev/system/root)
• valida, et hakatakse kasutama ilma graafilise keskkonnata (X Window serverita)
• seejärel arvuti reboodib ja peale käivitumist saab logida sisse kasutajaga kasutaja ning minna sudo -i abil root kasutajaks, nagu ikka Ubuntu puhul
• taustal paigaldatakse veel tarkvara, progress saab jälgida 'tail -f /var/log/dpkg.log' abil

Seejärel saab brauseriga pöörduda https://192.168.10.124:8443/ aadressile ja logida sisse ning jätkate 'Initial Setup' tegevustega

kus

• Package Selection - valida paigaldatavad nn Zentyal paketid (Domain Controller and File Sharing ja DNS Server)
• Installation - Vajutada Install

Initial Configuration juures seadistataksse võrguseadmed

• Configure interface types -> eth0 - Internal -> Next
• Configure network for external interfaces - Don't Configure - Skip
• Select the type of the server - Standalone server
• Select the domain name of the server - sise.moraal.ee
• Save Changes - Go to the dashboard

• paigaldamise edenemist saab jälgida

# tail -f /var/log/zentyal/software.log

Kuna paigaldamisel kopeeritakse osa tarkvara võrgust, siis sama paigaldusmeedia kasutamine erinevatel aegadel annab erineva tulemuse. Tundub, et kui veebipõhise haldusliidese järgi on üks või teine tegevus lõppenud, nt uuenduste paigaldamine, siis taustal mingid sabad veel toimetavad.

Kuigi Zentyal paketid on paigaldatud, on vastavad moodulid sisse lülitama

Module Status -> ...

Ning peale moodulite sisselülitamist tuleb haldusliideses paremal üleval öelda

SAVE CHANGES

Tulemusena paistab nt selline pilt

kus

• näidata First Name ja Last Name
• määrata parool, vastasel korral ei saa seda kasutajat kasutada

Kui süsteem on paigaldatud ilma lokaalse graafilise liidestata, siis võib pisut segadust tekitada, et nn Alt+F1 esimene virtuaalne konsool jääb peale arvuti käivitumist ette tekstiga, ei ilmus tavalist Login: ekraani

..
Starting Zentyal module: webadmin
Installid Zentyal core packages... Please wait.
Zentyal interface at https://192.168.10.125:8443 (Alt+F2 for login shell)
mv: cannot stat '/usr/share/zenbuntu-core/second-boot.sh': No such file or directory

Seejärel on sobiv süsteemi sisenemiseks valida Alt+F2 või pöörduda brauseriga öeldud urlil.

AD kasutamine

TODO

Linux arvuti liidestamine

Samba

Nö tavalisel moel, aga domeeniga liidestamiseks peab arvutil olema sobiv hostname ja domain name seadistatud ning öeldes tekitatakse ka DNS sissekanne AD andmestikku

# net ads join -U Administrator
Enter Administrator's password:
Using short domain name -- SISE
Joined 'MYSQL-1' to dns domain 'sise.moraal.ee'

PBIS

Kopeerida tarkvara aadressilt http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True ning käivitada

# ./failnimi

Seejärel liidestada arvuti domeeniga, arvuti hostname ja domain name peab olema sobiv

# domainjoin-cli join SISE.MORAAL.EE Administrator
Joining to AD Domain:   SISE.MORAAL.EE
With Computer DNS Name: mysql-2.sise.moraal.ee

Administrator@SISE.MORAAL.EE's password: 
Warning: System restart required
Your system has been configured to authenticate to Active Directory for the first time.  It is recommended that you restart your system to
ensure that all applications recognize the new settings.

SUCCESS

Seejärel tuleb liidestatud arvutit natuke seadistada, nt

# /opt/pbis/bin/config UserDomainPrefix sise.moraal.ee
# /opt/pbis/bin/config AssumeDefaultDomain true
# /opt/pbis/bin/config LoginShellTemplate /bin/bash
# /opt/pbis/bin/config HomeDirTemplate "%H/%U"
# /opt/pbis/bin/regshell list_values '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\]'

Kasulikud lisamaterjalid

• http://www.devopsservice.com/add-ubuntu-14-04-server-to-a-windows-active-directory-domain/

SSSD

Realmd, adcli, sssd ja Active Directory kasutamine

File sharing

Failide jagamise ressurss võiks olla serveris eraldi plokkseadmel ja seal ei tarvitse olla partitsioone ega lvm kihti

# mkfs.ext4 /dev/vdb

ühendatakse külge mh extended attributes ja acl toega

# cat /etc/fstab
..
/dev/vdb        /srv/data1       ext4    acl,user_xattr,usrquota,grpquota,acl    0 2

Ressursi seadistamiseks tuleb Zentyal haldusliideses

File Sharing -> Shares -> ADD NEW

GPO

TODO

Kasulikud lisamaterjalid

• https://www.youtube.com/watch?v=jXAz6vrWMP0

Varundamine ja taaste

Tundub, et interaktiivne varundamine toimub haldusliideses

 System -> Configuration Backup

Tulemusena tekib tar arhiiv kataloogi

root@ad-z1:~# ls -ld /var/lib/zentyal/conf/backups/*
-rw-rw---- 1 ebox ebox 2498560 Mar 14 01:21 /var/lib/zentyal/conf/backups/2016-03-14-012043.tar
-rw-rw---- 1 ebox ebox 2508800 Apr 30 10:28 /var/lib/zentyal/conf/backups/2016-04-30-102737.tar
-rw-rw---- 1 ebox ebox 2498560 May 28 14:25 /var/lib/zentyal/conf/backups/2016-05-28-142458.tar
-rw-rw---- 1 ebox ebox 2508800 Jul 24 10:08 /var/lib/zentyal/conf/backups/2016-07-24-100839.tar

kus

# tar tf /var/lib/zentyal/conf/backups/2016-03-14-012043.tar
eboxbackup/
eboxbackup/fstab
eboxbackup/modules
eboxbackup/partitions
eboxbackup/debpackages
eboxbackup/size
eboxbackup/md5sum
eboxbackup/etcFiles.tgz
eboxbackup/type
eboxbackup/description
eboxbackup/date
eboxbackup/files.tgz

Taaste võiks toimuda nt peale puhta paigalduse tegemist ning samade komponentide paigaldamist. Oluline on tähele panna, et tegu on seadistuste varundamisega, mille hulka kuulub ka AD kataloogi sisu, aga nt ei kuulu failiserveris olevad failid.

Zentyal v. 5

• paigaldada vanilla Ubuntu 64 bit server, v. 16.04
• lisada repo võti

# wget -q http://keys.zentyal.org/zentyal-5.0-archive.asc -O- | sudo apt-key add -

• lisada repo, faili /etc/apt/sources.list.d/zentyal.list

deb http://archive.zentyal.org/zentyal 5.0 main

• öelda

# apt-get update
# apt-get install zentyal

Seejärel avada töökohaarvuti brauseris https://<zentyal-ip-address>:8443/

Probleemid

• ei saa faili kopeerida

2017/03/18 00:35:46 ERROR> Sudo.pm:240 EBox::Sudo::_rootError - root command set -e
echo Europe/Tallinn > /etc/timezone
cp -f /usr/share/zoneinfo/Europe/Tallinn /etc/localtime failed. 
Error output: cp: '/usr/share/zoneinfo/Europe/Tallinn' and '/etc/localtime' are the same file

Kasulikud lisamaterjalid

• https://wiki.zentyal.org/wiki/Installation_Guide

Kasulikud lisamaterjalid

• http://www.tecmint.com/install-zentyal-as-primary-domain-controller-and-integrate-windows-system/
• Active Directory kasutamine operatsioonisüsteemiga Debian v. 7 Wheezy