linux加入windows域之完美方案.docx
- 文档编号:1812025
- 上传时间:2023-05-01
- 格式:DOCX
- 页数:16
- 大小:477.64KB
linux加入windows域之完美方案.docx
《linux加入windows域之完美方案.docx》由会员分享,可在线阅读,更多相关《linux加入windows域之完美方案.docx(16页珍藏版)》请在冰点文库上搜索。
linux加入windows域之完美方案
linux加入windows域之完美方案
笔者这几天在研究samba服务通过ad域进行用户验证。
在查资料的过程中发现。
关于linux加入windows域,网上资料不少,但是按着网上的说法做大多不成功,甚至很多人估计都不知道自己在说什么,最后一个netadsjoin就认为已经成功加入到域了,可是然后呢?
作为域内的一个成员,普通的机器要可以提供域内的用户登陆;作为samba服务要把共享加入到目录中,这样才起到加入域的作用嘛。
笔者经过反复实验,终于把linux加入到windows域一些细节记录下来,不敢独享,特拿出。
笔者用的linux为centos5.3。
ad域为win2k3sp2。
域为:
R
Win2k3:
Name:
ad1
Ip:
192.168.1.241
Dns:
192.168.1.241
Centos5.3:
Name:
Filesrv
Ip:
192.168.1.246
Dns:
192.168.1.241
Ok,let’sgo!
1.samba服务器软件需求
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2
[root@filesrvCentOS]#rpm-qa|grepkrb5
krb5-auth-dialog-0.7-1
krb5-libs-1.6.1-25.el5
krb5-devel-1.6.1-25.el5
pam_krb5-2.2.14-1
krb5-workstation-1.6.1-25.el5
[root@filesrvCentOS]#rpm-qa|grepsamba
samba-swat-3.0.28-0.el5.8
samba-common-3.0.28-0.el5.8
samba-client-3.0.28-0.el5.8
samba-3.0.28-0.el5.8
如果centos在安装的时候没有取消默认选中的”Base”,则krb5的包是默认全部安装
如果没有选择安装samba可以这样安装
[root@filesrvCentOS]#rpm-ivhxinetd-2.3.14-10.el5.i386.rpm
[root@filesrvCentOS]#rpm-ivh--aidsamba*.rpm
2.配置kerberos和samba
因为笔者用的系统为centos所以为保证一次成功的准确率,这里就使用字符界面下的图形工具来配置了。
运行setup工具
认证配置
选择:
“usewinbind”
“usekerberos”
“usewinbindauthertication”
删除adminserver 其余的改成真实情况
Realm为域名,KDC为域服务器的ip
配置winbind
Domain为你的域的,左面第一个”.”前面的东东
选择”joindomain”,提示是否先保存配置信息,肯定是yes了。
嘿嘿,看到这个画面是不是想到了xp机器加入到域的情景?
没错就是那个!
输入ad域的管理员密码吧☺
不出意外的话,你就到达了最后一个界面,肯定ok,然后退出了。
一般来说,只要两台机器的时间上下不差五分钟,且项都配置正确的话,你就会看到下面这个图片。
看到这个图片说明你的linux成功加入到ad域啦!
OK,用图形的好处就是方便快捷,但是这样只适合rh系统。
别的linux系统咋办呢?
别急。
这个工具其实就是编辑以下三个配置文件:
/etc/nsswitch.conf
passwd:
files winbind(就是先读files 然后再通过winbind认证)
shadow:
files winbind
group:
files winbind
/etc/krb5.conf
[logging]
default=FILE:
/var/log/krb5libs.log
kdc=FILE:
/var/log/krb5kdc.log
admin_server=FILE:
/var/log/kadmind.log
[libdefaults]
default_realm=RAINBIRD.NET(默认的域名)
dns_lookup_realm=false
dns_lookup_kdc=false
ticket_lifetime=24h
forwardable=yes
[realms]
EXAMPLE.COM={
kdc=:
88
admin_server=:
749
default_domain=
}
RAINBIRD.NET={
kdc=192.168.1.241:
88(域服务器)
kdc=192.168.1.241
}
[domain_realm]
=EXAMPLE.COM
=EXAMPLE.COM
=RAINBIRD.NET
=RAINBIRD.NET
[appdefaults]
pam={
debug=false
ticket_lifetime=36000
renew_lifetime=36000
forwardable=true
krb4_convert=false
}
/etc/samba/smb.conf
workgroup=RAINBIRD//域名
passwordserver=192.168.1.241//域服务器
realm=RAINBIRD.NET
security=ads//必须启用
idmapuid=16777216-33554431
idmapgid=16777216-33554431
templateshell=/bin/bash
winbindusedefaultdomain=false (改成true)
winbindofflinelogon=false(改成true)
templatehomedir=/home/%U
winbindseparator=/
winbindenumusers=Yes
winbindenumgroups=Yes
红色部分就是工具自动修改的了,但是smb.conf修改的不彻底,还不能满足我们的要求,怎么办呢?
手动把蓝色部分加上,并把那两个false改成ture,然后设置samba的开机自动启动chkconfigsmbon,servicesmbon启动服务,然后就是手工把linux加入到windows了
[root@filesrv~]#netadsjoin-Uadministrator@RAINBIRD.NET
administrator@RAINBIRD.NET'spassword:
Theworkgroupin/etc/samba/smb.confdoesnotmatchtheshort
domainnameobtainedfromtheserver.
Usingthename[RAINBIRD]fromtheserver.
Youshouldset"workgroup=RAINBIRD"in/etc/samba/smb.conf.
Usingshortdomainname--RAINBIRD
Joined'FILESRV'torealm'RAINBIRD.NET'
提示“Joined”哟,不是这个提示就是有问题,再仔细检查。
OK,重启linux,这时候用一个域用户登陆linux如果提示用户或密码验证失败,说明你重启之前的东西没配置对。
仔细检查一下哪里不对呢?
如果提示如下,那么恭喜你,可以继续下一个话题了。
3.自动创建用户目录.
用到的文件pam_mkhomedir.so
在/etc/pam.d/sysconf-auth文件中的sesson部分添加一行
session required pam_mkhomedir.sosilentskel=/etc/skelumask=0077
silent不打印创建目录信息
skel 告诉pam_mkhomedir.so拷贝/etc/skel里的文件到新创建的目录里.
umask 是创建的目录的权限
创建哪个目录是在smb.conf里的templatehomedir定义的
如图:
保存退出,重启一下X-window。
再次用域用户登陆,是不是成功看到了久违的linux桌面呢?
Ok,到此为止,linux加入windows的故事就讲完了。
而samba服务器通过ad域认证并实现每个用户500M的共享空间,且当用户登陆windows域的时候自动挂载已经成型,近期放出,敬请期待。
Linux加入windowsad域步骤详解(winbindsamba方案)
linux加入域中,一般都会想到加入LDAP中,这样管理起来方便,不过在linux下LDAP配置起来可不是很容易的,在企业办公环境中一般windowsAD域占据霸主地位,配置方便嘛,针对生产环境的linux集群机器才会选择LDAP,不过有时候在办公环境中也混杂了linux机器,为了规范管理,也是需要把linux机器加入window是AD中的。
linux加入windowsAD中方便操作的有两种方案(分为centos/ubuntu两种情况)。
都说了是方便操作,那必然是懒人的首选方法了。
1likewise-open
在debian/ubuntu中使用,可以使用apt安装,配置方便,但是由于likewise的公司被收购,likewise的相关产品不再是开源产品,更杯具的是网上连以前的源码包都找不到,还好ubuntu中目前还是可以通过apt安装的。
2winbind+samba
在centos上使用,之前下载了一份ubuntu上的likewise的源码在centos上编译发现相关底层库有些小问题,顾在centos上采用winbind+samba方案。
在ubuntu下使用likewise真是十分方便,apt安装完后,两条命令就可以把机器加入windowsAD中,如下:
复制代码代码如下:
domainjoin-clijoinyour-domain-nameAdministrator
lwconfigAssumeDefaultDomainTrue
所以,本文主要实验centos加入windowsAD的情况
实验环境:
centos6.4
安装相关依赖包
复制代码代码如下:
yuminstallkrb5-libskrb5-develpam_krb5krb5-workstationkrb5-auth-dialogyuminstallsamba-winbindsambasamba-commonsamba-clientsamba-winbind-clients
安装完相关软件后,可以使用authconfig-tui命令进行图像化配置,其实图像化配置也就是修改几个文件而已:
复制代码代码如下:
nsswitch.conf
#/etc/nsswitch.conf
passwd:
fileswinbind
shadow:
fileswinbind
group:
fileswinbind
以上配置的意思是先通过文件配置验证,然后再进行winbind验证
2smb.conf
复制代码代码如下:
#/etc/samba/smb.conf域名一定得大写
[global]
workgroup=YOUR-DOMIAN
passwordserver=172.16.14.20
realm=YOUR-DOMIAN
security=ads
idmapconfig*:
range=16777216-33554431
templateshell=/bin/bash
winbindusedefaultdomain=true
winbindofflinelogon=true
templatehomedir=/home/%U
winbindseparator=/
winbindenumusers=Yes
winbindenumgroups=Yes
切记你的域名一定得大写
3krb5.conf
复制代码代码如下:
#/etc/krb5.conf域名必须得大写
[logging]
default=FILE:
/var/log/krb5libs.log
kdc=FILE:
/var/log/krb5kdc.log
admin_server=FILE:
/var/log/kadmind.log
[libdefaults]
default_realm=YOUR-DOMIAN
dns_lookup_realm=false
dns_lookup_kdc=false
ticket_lifetime=24h
renew_lifetime=7d
forwardable=true
[realms]
YOUR-DOMIAN={
kdc=172.16.14.20#AD域服务器地址
}
[domain_realm]
your-domian=YOUR-DOMIAN
.your-domian=YOUR-DOMIAN
重启相关服务
复制代码代码如下:
/etc/init.d/smbrestart/etc/init.d/winbindrestart
现在把机器加入AD域中:
复制代码代码如下:
netadsjoin-UAdministrator
回车后需要输入AD域的管理员密码,加入域之后可以通过wbinfo命令进行验证。
在用域账号登陆时,在目的机器上因为没有相关账号,所以域账号是没有家目录的,需要在域账号登陆时自动建立相关家目录
在以下两个文件中加入如下内容:
sessionrequiredpam_mkhomedir.soumask=0022skel=/etc/skel/silent
复制代码代码如下:
/etc/pam.d/system-auth/etc/pam.d/sshd
这样在通过ssh登陆时,系统会自动创建域账号的家目录。
pam模块在/lib64/security目录里面。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- linux 加入 windows 完美 方案