smb.conf 的配置
1. 首先security=ads ,这是需要的。
winbind separator = /
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
winbind uid = 10000-20000
winbind gid = 10000-20000
workgroup = DOMAIN
security = domain
password server = *
关于winbindd配置是需要有的。winbindd 是Name Service Switch daemon for resolving names from NT。。它提供和nt 的通讯任务。(这里我们需要它获得ads上的用户名,用户组,并映射到本地操作系统)
2. nsswitch.conf 当然,如果winbindd映射成功的话还不够,你需要修改这个配置文件。System Databases and Name Service Switch configuration file。这样,你可以使系统真正认识这些ads上用户和组。
很简单的是,这里只需要在group 和 passwd 后加上winbind 字段。(例如getent passwd,则会按照你书写的查找db顺序,进行依次寻找)getent passwd 列表出来的用户,你基本才可以认为将系统用户配置为samba的用户。
3. krb5.conf 这是关于kerberos的配置。你需要认真的修改。其中默认获得ticket 和加入域 需要不超过5分钟的时钟歪斜,否则你很难成功。clockskew=(s)可以修改,但似乎没有看到什么效果。这里关于域服务器的域名,你大写(默认都是),所以 smb.conf 里的realm 字段也必须大写。似乎感觉一致就可以了,没有其他网上说的非要大写的意思。
配置文件大概是这样的。嘿。下面可以开始操作了。
a) krb5kinit 有的是 kinit
获得ticket 。加入域之前的必须步骤。
kinit test@test.com
b)a步骤没有提示,即成功。
然后你就可以加入域了。
net ads join -U test@test.com
net ads join -U test -S test.com
-I 参数也可以直接指定 ip地址
加入成功后,他会提示你。如果存在,会提示已经存在,并且修改。
关于net命令,还有其他用途。你可以指定删除指定的ads上用户或组,或者修改密码等。
成功后,你可以用net 来查看ads上用户名和用户组。
e.g.: net ads user -U test@test.com
c)此时,你可以开启smb服务了。service smb start|restart
d)运行winbindd 服务。
e)wbinfo -t 测试与winbindd 以及winbindd与ads的通讯情况。
wbinfo -u | -g 则可以看到通过winbindd 获得的用户名和用户组(这与net 命令获得的是不尽相同的)这时的用户,会以域名加上域操作符加上用户名|用户组。
winbind separator = /(域操作符就是这个)
此时并不一定就可以认为,ads上用户已经映射到了本地。。只是能通过winbindd连接ads正常而已。
f)你需要通过getent passwd | group 来验证。
此时的用户及用户名,你就可以当作本地用户使用了。
阅读(2027) | 评论(0) | 转发(0) |