Trovare nelle reti moderne un mix di sistemi con OS Windows e Linux è una situazione ormai comune ed è determinata dalle esigenze sempre più varie di servizi forniti da un ambiente o dall’ altro.

Se la topologia di rete è basata su Active Directory, sorge la necessità di agganciare anche le macchine in Linux nel dominio per permettere l’accesso alle risorse e ai servizi di rete presenti in modo centralizzato.

Per effettuare l’operazione in modo semplice e veloce, è disponibile un tool open source che permette di integrare sistemi Linux, Unix e Mac con Microsoft Active Directory. Si tratta di Likewise Open. L’installazione è semplice e veloce e permette in pochi passaggi di effettuare l’operazione di join al dominio.

AGGIORNAMENTI: Il tool è stato ceduto alla BeyondTrust e rinominato in PowerBroker® Identity Services Open Edition.

1. PROCEDURA
Come prima cosa bisogna scaricare il software dal sito Likewise BeyondTrust che viene reso disponibile nelle versioni a 64 e 32 bit.

versione 32 bit
# wget http://www.likewise.com/bits/summer09/7724/LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer
# wget http://www.beyondtrust.com/Technical-Support/Downloads/files/PBISO/6.0/8398/LikewiseOpen-6.0.0.8398-linux-i386-rpm.sh

versione 64 bit
# wget http://www.likewise.com/bits/summer09/7724/LikewiseIdentityServiceOpen-5.3.0.7724-linux-x86_64-rpm-installer
# wget http://www.beyondtrust.com/Technical-Support/Downloads/files/PBISO/6.0/8398/LikewiseOpen-6.0.0.8398-linux-x86_64-rpm.sh

2. INSTALLAZIONE
Per lanciare l’installazione bisogna rendere eseguibile il file appena scaricato:

# chmod a+x LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer

A questo punto mandiamo in esecuzione il file di installazione:

# ./LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer

Premere Enter per proseguire.

Digitare y per proseguire.

Premere ancora una volta Enter per proseguire.

L’installazione a questo punto è terminata. Il prossimo passaggio è l’aggancio della macchina Linux al dominio Active Directory.

3. JOIN AL DOMINIO
Completata l’installazione, effettuare il join del computer Linux al dominio Active Directory utilizzando il comando:

# /opt/likewise/bin/domainjoin-cli join nomedominio Administrator

Viene richiesto l’inserimento della password dell’account utilizzato per effettuare l’operazione di join che possiede i diritti di Domain Administrator. Se il tutto va a buon fine, viene confermato dalla scritta SUCCESS che appare una volta inserita la password. Il sistema Linux è ora nel dominio Active Directory.

Un’ulteriore verifica la si può effettuare nel Domain Controller aprendo lo snap-in Active Directory Users and Computers –> Computers. Nella parte destra viene visualizzata la macchina Linux appena agganciata al dominio.

Per impostare il corretto ambiente operativo, un ulteriore settaggio deve essere effettuato nel file di configurazione di Likewise Open. Editare il file /etc/likewise/lsassd.conf e modificare le definizioni indicate con i valori specificati.

# vi /etc/likewise/lsassd.conf

login-shell-template = /bin/bash
homedir-template = %H/%U

Per rendere effettive le modifiche è necessario riavviare il daemon lsassd.

# service lsassd restart

Tramite putty o similari, effettuare il logon alla macchina Linux in SSH utilizzando un utente già definito in Active Directory.

Per aggiungere gli utenti del dominio ai gruppi locali del sistema Linux, inserire le definizioni nel file /etc/group utilizzando la sintassi:

NetBIOSdomainName\SAMaccountName

Il nostro sistema Linux è adesso perfettamente integrato nella rete Active Directory.

Hai già letto questi articoli?

• Integrare VMware ESXi 4.1 in Active Directory
• Configurare Windows 2008 R2 come server NTP per sincronizzare la rete.
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory

L’importanza di avere tutti i sistemi sincronizzati con la stessa ora è fondamentale per il corretto funzionamento di una rete basata su Active Directory. La sicurezza delle autenticazioni, che avvengono tramite il protocollo kerberos, si affida al time stamps della richiesta effettuata dai client.

Il non tener conto di questo aspetto può portare a molti problemi di autenticazione poichè se il discostamento degli orologi tra il client e KDC è oltre la soglia di tolleranza, l’autenticazione semplicemente viene rifiutata. E’ quindi molto importante fare in modo che all’interno della rete i vari sistemi abbiano tutti la stessa data e ora.

Fortunatamente Windows Server 2008 viene incontro a questa esigenza tramite Windows Time Service (W32Time) che è un servizio con il compito di mantenere gli orologi sincronizzati nei computer della rete utilizzando il protocollo SNTP.

1. PDC COME SERVER NTP
In una topologia di rete basata su Active Directory, W32Time sincronizza gli orologi della forest utilizzando una relazione gerarchica che inizia dal PDC Emulator nella root domain della forest, considerato per la AD forest lo stratum 2 del time source.

Se il PDC è sincronizzato tramite un Internet time server o un orologio atomico, questi ultimi sono considerati nella gerarchia W32Time stratum 1 del time source.

Quindi il computer che deve essere configurato come NTP server in Active Directory deve essere il domain controller che ricopre il ruolo di PDC Emulator.

2. CONFIGURAZIONE DEL SERVER
La configurazione viene fatta direttamente nel registry di Windows tramite il Registry Editor.

- Una volta avviato il Registry Editor tramite il comando regedit, identificare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

- Cliccare con il tasto destro del mouse la voce AnnounceFlags e quindi Modify.

- Nel campo Value data digitare 5 e successivamente click su OK.

- Per abilitare il server NTP, posizionarsi sulla voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ TimeProviders\ NtpServer

- Cliccare con il tasto destro del mouse la voce Enabled e quindi Modify.

- Nel campo Value data digitare 1 e successivamente OK.

- Per impostare con quali server NTP esterni il nostro sistema deve sincronizzarsi, selezionare la voce di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

- Cliccare con il tasto destro del mouse la voce NtpServer e quindi Modify.

- Nel campo Value data impostare il DNS name del/i server NTP con i quali effettuare la sincronizzazione seguiti da ,0×1 per ogni valore DNS impostato. Cliccare poi OK.

- Per impostare il valore di time correction o modificare i parametri di default secondo le proprie esigenze, posizionarsi nella chiave di registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

- Dopo aver chiuso il Registry Editor, l’ultima operazione da effettuare è il riavvio del servizio W32Time dal Command Prompt tramite il comando seguente:

net stop w32time && net start w32time

- Per fare in modo di avviare il servizio ad ogni reboot del server, impostare lo Startup type del servizio W32Time in Automatic.

- Poichè il servizio utilizza la porta UDP 123 per il suo funzionamento, è necessario aprire la porta nel firewall di Windows.

3. CONFIGURAZIONE DEI CLIENT E TEST DEL SERVIZIO
Utilizzando Windows Time (W32Time) service come server NTP è possibile sincronizzare sia client Windows che non-Windows.

Windows 7

- Effettuare un click con il tasto destro sull’orologio in basso a destra del desktop e selezionare Adjust date/time.

- All’apertura della finestra, selezionare la voce Internet Time e cliccare sul bottone Change Settings…

- Digitare il DNS name del server NTP appena impostato (srv-dc1 nell’esempio).

- Per effettuare la sincronizzazione manuale cliccare sul bottone Update Now.

Linux

Installare il daemon ntpd, renderlo attivo all’avvio del computer ed editare il file di configurazione /etc/ntpd.conf per impostare il nuovo server NTP di riferimento (srv-dc1 nell’esempio):

# yum install ntp
# chkconfig ntpd on
# vi /etc/ntpd.conf

Per testare la sincronizzazione sul client Linux è sufficiente fermare il servizio ntpd ed utilizzare il comando ntpdate:

# service ntpd stop
# ntpdate srv-dc1

A questo punto tutti i sistemi possono essere sincronizzati con il nuovo server NTP appena configurato scongiurando potenziali problemi dovuti all’autenticazione in Kerberos.

Hai già letto questi articoli?

• Join di macchine Linux in un dominio Active Directory
• Servizio NTP: quale provider?
• Configurare Remote Assistance in Windows 2008 R2 tramite GPO
• Comprendere le Group Policy di Active Directory

La sincronizzazione in termini di date & time è un aspetto importante per una rete informatica poichè gli aggiornamenti dei clients e soprattutto le autenticazioni basate su Kerberos (Active Directory) sono influenzati da questi parametri.

Per questo scopo bisogna appoggiarsi ad un servizio di sincronizzazione affidabile con un un alto livello di precisione limitando al minimo il valore di scarto.

L’I.N.RI.M (Istituto Nazionale di Ricerca Metrologica) fornisce un servizio di sincronizzazione per sistemi informatici collegati alla rete Internet mettendo a disposizione due servers NTP ad accesso libero con i seguenti indirizzi:

ntp1.inrim.it          (193.204.114.232)
ntp2.inrim.it          (193.204.114.233)

1. CONFIGURAZIONE
Per sistemi Linux, il servizio di sincronizzazione viene gestito dal daemon ntpd che ha la sua configurazione nel file /etc/ntpd.conf. Editando questo file vanno inseriti gli indirizzi dei servers di riferimento:

server ntp1.inrim.it      # server primario
server ntp2.inrim.it      # server primario

Nei sistemi Windows per impostare la sincronizzazione, bisogna operare a livello di registro editando la chiave NtpServer:

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

I parametri possono essere impostati come nomi DNS (in questo caso bisogna aggiungere ,0×1 alla fine di ogni nome DNS) o indirizzi IP.

Per configurazioni avanzate, Internet offre un’ampia documentazione alla quale fare riferimento.

Hai già letto questi articoli?

• Configurare Windows 2008 R2 come server NTP per sincronizzare la rete.
• Join di macchine Linux in un dominio Active Directory