Zentyal kasutamine
Sissejuhatus
Zentyal http://www.zentyal.org/ ... põhineb Ubuntu operatsioonisüsteemil. 2016 aasta alguses on kaks võimalust Zentyal kasutamiseks
- Zentyal server
- Zentyal server development edition
Tööpõhimõte
Zentyal'i moodustab kohandatud ja omavahel integreeritud komplekt tuntud vaba tarkvaralisi komponente, Ubuntu, Samba, ISC DHCP, BIND jt. Zentyal'i omadused
- Ubuntu v. 14.04 64 bit operatsioonisüsteem (2016 veebruaris)
- Active Directory (2016 veebruaris Samba v. 4.3.1; kasutatakse eraldi winbindd deemonit, mitte varasemat Samba sisest winbind komponenti)
- omavahel dns update'ide osas koostööd tegevad DHCP ja BIND (AD DNS serverina on kasutusel BIND ja ei kasutata Samba enda DNS komponenti)
- Samba failiserveriga on VFS (Virtual File System) moodulite abil võimalik failisüsteemis toimuvate tegevuste logimine (nt faili kustutamine, moodustamine), ClamAV viirustõrje, nn RecycleBin jms
- GPO (Group Policy Object) abil saab muuta liidestatud arvutite seadistusi ja kaughallata tarkvara
- Epost (Postfix, Dovecot jt)
Active Directory andmebaasi saab redigeerida nii Zentyal veebipõhisest haldusliidesest tekitades organizational uniteid, gruppe, kasutajaid jms; neid tegevusi on samaväärne sooritada mõnest domeeniga liidestatud Windows arvutist nö tavaliste AD halduse tööriistadega (Active Directory Users and Computers, Domains and Names, Group Policy Management).
Zentyal kasutamise ettevalmistamine
Zentyal poolt pakutavad teenused on selles mõttes erilised, et nad ei tegele mitte ühe kitsalt määratled ülesande lahendamisega, vaid moodustavad suure osa mitmest komponendist koosnevast tervikust; muu osa hulka kuuluvad nt kohtvõrgu töökohaarvutid, tulemüür ja varunduslahendus. Zentyal juurutamisel tasub tähelepanu pöörata sellistele asjaoludele
- Zentyal poolt pakutavad teenused - kas ainult AD domeenikontroller ja failiserver või ka nt epost ja kalender
- võrgutopoloogia - kas Zentyal ja töökohaarvutid asuvad samas ip subnetis või on töökohaarvutid jagatud mitmete subnettide vahel; millised on võrgusegmentide vahelised ühendused; kas Zentyal on ise tulemüür/ruuter/nat või kasutatakse iseseisvat tulemüüri
- kas kasutatakse ühte või mitut Zentyal serverit (nt üks operatsioonisüsteem töötab ad domeenikontrollerina, lisaks on kaks failiserveri operatsioonisüsteemi)
- milliseid nimesid seoses Zentyali ja tema teenustega kasutatakse (domeenimi, hostname, NetBIOS name jt)
- planeerida AD domeenikontrolleri organization units, grupid, kasutajad jm struktuur
- millised operatsioonisüsteemid on kasutusel töökohaarvutites
- millised on failiserveri ressurssidele ligipääsemise reeglid erinevate domeeni kasutajate ja gruppide jaoks
Zentyal lahenduse juurutamisel on äärmiselt oluline otsustada enne tegevusi millised nimed võetakse kasutusele, antud juhul on tehtud sellised valikud
- hostname - ad-z1.moraal.local
- domeenime osa - moraal.local
- workgroup - moraal
- AD realm - MORAAL.LOCAL
Zentyal poolt pakutavad teenused ja võrgutopoloogia
Olgu eesmärk pakkuda Zentyal abil kohtvõrgus sellised teenuseid
- AD domeenikontroller
- Failiserver
Teenuseid pakutakse ühel operatsioonisüsteemil töötava Zentyal abil, millel on üks võrguliides
internet ... | __|__ | | tulemüür | | |_____| | | ---|----------|-----------------|-------------------------|--------------------------|----- | | | | __|__ __|__ __|__ __|__ | | | | | | | | | | | | | | | | |_____| |_____| |_____| |_____| Zentyal server töökohaarvuti töökohaarvuti töökohaarvuti ad-z1.moraal.local win-7-priit.moraal.local win-7-mart.moraal.local win-10-imre.moraal.local
AD kataloogi struktuur
Olgu eesmärk hallata AD domeenikontrolleriga sellised objekte
- ühes kohtvõrgus asuvad töökohaarvutid
- kolme organisatsiooni kasutajad - MORAAL, IMOOL, AUUL (millest ühega MORAAL on seotud töökohaarvutid)
- kasutajatele on kirjeldatud eposti aadressid, quota'd jms
Nt võiks paista tulemus selline
kus
- vaikimisi struktuuri on lisatud Organizational Unit'id MORAAL, AUUL ja IMOOL
Tarkvara paigaldamine ja seadistamine
Zentyal tarkvara jagatakse aadressil http://www.zentyal.org/server/. Enne paigaldamist on vaja teada
- millist hostname ja domeeninime osa hakatakse kasutama, sellest tuleneb ka nn workgroup ('moraal') ja ad realm nimi ('MORAAL.LOCAL') - nt ad-z1.moraal.local
- millist ip aadressi ja default gw'd hakatakse kasutama (parem staatiline ip)
Paigaldamisel kasutatakse Ubuntu praktiliselt installerit ja küsitakse suhteliselt algusel, kas nö tavaline või expert mode, viimasel juhul saab
- seadistada üksikasjalikult kõrvaketta kasutuse, st millised plokkseadmeid kasutatakse, LVM osas jne nagu Ubuntu installer seda ikka võimaldab
- valida, kas paigaldatakse lokaalselt graafiline keskkond
- peale esimest rebooti saab sisse logida konsoolilt ja nt /var/log/syslog sisu põhjal jälgida parasjagu toimuvaid tegevusi, automaatselt lisatakse ja seadistatakse tarkvara
Paigaldamisel tehtud valikud
- käivitatakse nö Ubuntu installer ja valitakse expert mode
- seadistatakse staatiline ip aadress ja nimeserver (tundub, et neid kasutatakse ainult paigalduse ajal, Hostname: ad-z1, Domain name: sise.moraal.ee)
- näidata kasutajanimi, nt 'kasutaja', ja parool
- seadistada plokkseadme kasutus (nt LVM abil /dev/system/swap, /dev/system/root)
- valida, et hakatakse kasutama ilma graafilise keskkonnata (X Window serverita)
- seejärel arvuti reboodib ja peale käivitumist saab logida sisse kasutajaga kasutaja ning minna sudo -i abil root kasutajaks, nagu ikka Ubuntu puhul
- taustal paigaldatakse veel tarkvara, progress saab jälgida 'tail -f /var/log/dpkg.log' abil
Seejärel saab brauseriga pöörduda https://192.168.10.124:8443/ aadressile ja logida sisse ning jätkate 'Initial Setup' tegevustega
kus
- Package Selection - valida paigaldatavad nn Zentyal paketid (Domain Controller and File Sharing ja DNS Server)
- Installation - Vajutada Install
Initial Configuration juures seadistataksse võrguseadmed
- Configure interface types -> eth0 - Internal -> Next
- Configure network for external interfaces - Don't Configure - Skip
- Select the type of the server - Standalone server
- Select the domain name of the server - sise.moraal.ee
- Save Changes - Go to the dashboard
- paigaldamise edenemist saab jälgida
# tail -f /var/log/zentyal/software.log
Kuna paigaldamisel kopeeritakse osa tarkvara võrgust, siis sama paigaldusmeedia kasutamine erinevatel aegadel annab erineva tulemuse. Tundub, et kui veebipõhise haldusliidese järgi on üks või teine tegevus lõppenud, nt uuenduste paigaldamine, siis taustal mingid sabad veel toimetavad.
Kuigi Zentyal paketid on paigaldatud, on vastavad moodulid sisse lülitama
Module Status -> ...
Ning peale moodulite sisselülitamist tuleb haldusliideses paremal üleval öelda
SAVE CHANGES
Tulemusena paistab nt selline pilt
kus
- näidata First Name ja Last Name
- määrata parool, vastasel korral ei saa seda kasutajat kasutada
Kui süsteem on paigaldatud ilma lokaalse graafilise liidestata, siis võib pisut segadust tekitada, et nn Alt+F1 esimene virtuaalne konsool jääb peale arvuti käivitumist ette tekstiga, ei ilmus tavalist Login: ekraani
.. Starting Zentyal module: webadmin Installid Zentyal core packages... Please wait. Zentyal interface at https://192.168.10.125:8443 (Alt+F2 for login shell) mv: cannot stat '/usr/share/zenbuntu-core/second-boot.sh': No such file or directory
Seejärel on sobiv süsteemi sisenemiseks valida Alt+F2 või pöörduda brauseriga öeldud urlil.
AD kasutamine
TODO
Linux arvuti liidestamine
Samba
Nö tavalisel moel, aga domeeniga liidestamiseks peab arvutil olema sobiv hostname ja domain name seadistatud ning öeldes tekitatakse ka DNS sissekanne AD andmestikku
# net ads join -U Administrator Enter Administrator's password: Using short domain name -- SISE Joined 'MYSQL-1' to dns domain 'sise.moraal.ee'
PBIS
Kopeerida tarkvara aadressilt http://download1.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition/?Pass=True ning käivitada
# ./failnimi
Seejärel liidestada arvuti domeeniga, arvuti hostname ja domain name peab olema sobiv
# domainjoin-cli join SISE.MORAAL.EE Administrator Joining to AD Domain: SISE.MORAAL.EE With Computer DNS Name: mysql-2.sise.moraal.ee Administrator@SISE.MORAAL.EE's password: Warning: System restart required Your system has been configured to authenticate to Active Directory for the first time. It is recommended that you restart your system to ensure that all applications recognize the new settings. SUCCESS
Seejärel tuleb liidestatud arvutit natuke seadistada, nt
# /opt/pbis/bin/config UserDomainPrefix sise.moraal.ee # /opt/pbis/bin/config AssumeDefaultDomain true # /opt/pbis/bin/config LoginShellTemplate /bin/bash # /opt/pbis/bin/config HomeDirTemplate "%H/%U" # /opt/pbis/bin/regshell list_values '[HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory\]'
Kasulikud lisamaterjalid
SSSD
Realmd, adcli, sssd ja Active Directory kasutamine
File sharing
Failide jagamise ressurss võiks olla serveris eraldi plokkseadmel ja seal ei tarvitse olla partitsioone ega lvm kihti
# mkfs.ext4 /dev/vdb
ühendatakse külge mh extended attributes ja acl toega
# cat /etc/fstab .. /dev/vdb /srv/data1 ext4 acl,user_xattr,usrquota,grpquota,acl 0 2
Ressursi seadistamiseks tuleb Zentyal haldusliideses
File Sharing -> Shares -> ADD NEW
GPO
TODO
Kasulikud lisamaterjalid
Varundamine ja taaste
Tundub, et interaktiivne varundamine toimub haldusliideses
System -> Configuration Backup
Tulemusena tekib tar arhiiv kataloogi
root@ad-z1:~# ls -ld /var/lib/zentyal/conf/backups/* -rw-rw---- 1 ebox ebox 2498560 Mar 14 01:21 /var/lib/zentyal/conf/backups/2016-03-14-012043.tar -rw-rw---- 1 ebox ebox 2508800 Apr 30 10:28 /var/lib/zentyal/conf/backups/2016-04-30-102737.tar -rw-rw---- 1 ebox ebox 2498560 May 28 14:25 /var/lib/zentyal/conf/backups/2016-05-28-142458.tar -rw-rw---- 1 ebox ebox 2508800 Jul 24 10:08 /var/lib/zentyal/conf/backups/2016-07-24-100839.tar
kus
# tar tf /var/lib/zentyal/conf/backups/2016-03-14-012043.tar eboxbackup/ eboxbackup/fstab eboxbackup/modules eboxbackup/partitions eboxbackup/debpackages eboxbackup/size eboxbackup/md5sum eboxbackup/etcFiles.tgz eboxbackup/type eboxbackup/description eboxbackup/date eboxbackup/files.tgz
Taaste võiks toimuda nt peale puhta paigalduse tegemist ning samade komponentide paigaldamist. Oluline on tähele panna, et tegu on seadistuste varundamisega, mille hulka kuulub ka AD kataloogi sisu, aga nt ei kuulu failiserveris olevad failid.
Zentyal v. 5
- paigaldada vanilla Ubuntu 64 bit server, v. 16.04
- lisada repo võti
# wget -q http://keys.zentyal.org/zentyal-5.0-archive.asc -O- | sudo apt-key add -
- lisada repo, faili /etc/apt/sources.list.d/zentyal.list
deb http://archive.zentyal.org/zentyal 5.0 main
- öelda
# apt-get update # apt-get install zentyal
Seejärel avada töökohaarvuti brauseris https://<zentyal-ip-address>:8443/
Probleemid
- ei saa faili kopeerida
2017/03/18 00:35:46 ERROR> Sudo.pm:240 EBox::Sudo::_rootError - root command set -e echo Europe/Tallinn > /etc/timezone cp -f /usr/share/zoneinfo/Europe/Tallinn /etc/localtime failed. Error output: cp: '/usr/share/zoneinfo/Europe/Tallinn' and '/etc/localtime' are the same file
Kasulikud lisamaterjalid