：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://oskb.blogbus.com/logs/41131986.html

环境介绍：
PDC（域控制器）

• 操作系统： Windows server 2003 企业版
• 主机名：dc01.contoso.com
• Netbios name：dc01
• 域名：contoso.com
• IP 地址：172.20.5.240

客户端：

• 操作系统：CentOS release 5.2 (Final)
• 主机名： vm12s00
• Netbios name : linux
• IP 地址：172.20.5.45
• Samba 版本：3.0.28

配置过程：

1. 配置nsswitch.conf

[root@vm02s00 ~]# cat /etc/nsswitch.conf |grep winbind
passwd:     files winbind
group:      files winbind

2.配置samba

[root@vm02s00 ~]# vi /etc/samba/smb.conf
workgroup = contoso
netbiosname = linux
server string = Samba server
log file = /var/log/samba/%m.log
max log size = 50
security = domain
password server = dc01.contoso.com
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
wins support = yes
dns proxy = no
idmap uid = 15000-20000
idmap gid = 15000-20000
template shell = /bin/bash
winbind use default domain = yes
winbind enum groups = yes
winbind enum users = yes
winbind separator = /
template homedir = /homes/%D/%U

3.配置kerberos

[root@vm02s00 ~]# vi /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = CONTOSO.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 CONTOSO.COM = {
  kdc = dc01.contoso.com:88
  admin_server = dc01.contoso.com:749
  default_domain = contoso.com
 }

[domain_realm]
 .contoso.com = CONTOSO.COM
 contoso.com = CONTOSO.COM

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

4.指定DNS Server在Linux

[root@vm02s00 ~]# cat /etc/resolv.conf
nameserver 172.20.5.240

5.重启 network 服务，以使上面的设置生效
# service network restart

6.重启 samba 和 winbind 服务
# service smb restart
# service winbind restart

7.将linux加入 windows 2003 域

[root@vm02s00 ~]# net rpc join -S dc01.contoso.com -U administrator
Password:
Joined domain CONTOSO.

# 上面提示加入 test 域成功。

8.重启 samba 和 winbind 服务
# service smb restart
# service winbind restart

9.测试 samba 的域成员状态

[root@vm02s00 ~]# net rpc testjoin
Join to 'CONTOSO' is OK

10.到此为止，linux 已经成功加入域，这时候就可以在 AD 的 computer 处看到这台 linux 主机了。

11.用wbinfo命令查看用winbindd服务连接PDC抓到的域内的用户和组的信息

[root@vm02s00 ~]# wbinfo -u
administrator
guest
support_388945a0
krbtgt
xypan
child$
fuck
iwam_bl10e-11
iusr_bl10e-11
yrzheng
eric
[root@vm02s00 ~]# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
domain admins
domain users
domain guests
group policy creator owners
dnsupdateproxy
[root@vm02s00 ~]# wbinfo -t
checking the trust secret via RPC calls succeeded

12.检查PDC用户（组）转换为本地用户（组）UID和GIU情况：

[root@vm02s00 ~]# getent passwd |grep CONTOSO
administrator:*:15000:15000:Administrator:/homes/CONTOSO/administrator:/bin/bash
guest:*:15001:15001:Guest:/homes/CONTOSO/guest:/bin/bash
support_388945a0:*:15002:15000:SUPPORT_388945a0:/homes/CONTOSO/support_388945a0:/bin/bash
krbtgt:*:15003:15000:krbtgt:/homes/CONTOSO/krbtgt:/bin/bash
xypan:*:15004:15000:xinyu pan:/homes/CONTOSO/xypan:/bin/bash
child$:*:15005:15000:CHILD$:/homes/CONTOSO/child_:/bin/bash
fuck:*:15006:15000:fuck xxxx:/homes/CONTOSO/fuck:/bin/bash
iwam_bl10e-11:*:15007:15000:IWAM_BL10E-11:/homes/CONTOSO/iwam_bl10e-11:/bin/bash
iusr_bl10e-11:*:15008:15000:IUSR_BL10E-11:/homes/CONTOSO/iusr_bl10e-11:/bin/bash
yrzheng:*:15009:15000:yrzheng:/homes/CONTOSO/yrzheng:/bin/bash
eric:*:15010:15000:eric:/homes/CONTOSO/eric:/bin/bash

[root@vm02s00 ~]# getent group

domain computers:*:15002:
domain controllers:*:15003:
schema admins:*:15004:administrator
enterprise admins:*:15005:administrator
domain admins:*:15006:xypan,administrator
domain users:*:15000:
domain guests:*:15001:
group policy creator owners:*:15007:administrator
dnsupdateproxy:*:15008:

13.配置实现用windows账户登录linux通过SSH，加入下面红色3行

[root@vm02s00 ~]# vi /etc/pam.d/sshd
#%PAM-1.0
auth       sufficient   pam_winbind.so
auth       include      system-auth
account    sufficient   pam_winbind.so
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so
session    required     pam_mkhomedir.so

14.通过别的机器ssh登录linux，直接进入smb.conf中指定的home目录

[root@centos ~]# ssh eric@172.20.5.45
eric@172.20.5.45's password:
Creating directory '/homes/CONTOSO/eric'.
Creating directory '/homes/CONTOSO/eric/.kde'.
Creating directory '/homes/CONTOSO/eric/.kde/Autostart'.
Creating directory '/homes/CONTOSO/eric/.mozilla'.
Creating directory '/homes/CONTOSO/eric/.mozilla/plugins'.
Creating directory '/homes/CONTOSO/eric/.mozilla/extensions'.

[eric@vm02s00 ~]$ pwd
/homes/CONTOSO/eric

注意：如果在PDC域中新建了用户或者为某个用户修改了密码，需要重新刷新samba服务和winbind服务，如下
service smb stop
service winbind stop
rm -f /etc/samba/*.tdb
rm -f /var/cache/samba/*.tdb
net rpc join -S dc01.contoso.com -U Administrator
service smb start
service winbind start

参考:click

附录：关于是应该是使用 RPC 还是 ADS  的一点参考
我应该以ADS模式还是以RPC模式，把我的红帽企业Linux Samba 3.0.x 服务器加入到Windows　2000 或者　Windows 2003活动目录域中?
解决方法:
对于Samba服务器，有两种域安全模式，加入到Windows 2000或者Windows 2003域控制器(DC‘s)控制的域中： RPC 模式 RPC(远程过程调用)模式的域成员是"NT4"样式的域成员,可以在/etc/samba/smb.conf中通过security=domain设定. 只要域控制器运行在混合模式下,Samba的基于RPC的域成员代码更加成熟和稳定可以很好地与Windows2000/2003域控制器工作。混合模式是Windows2000/2003域控制器的默认运行模式。 
ADS 模式 ADS(活动目录服务)模式的域成员，可以在 /etc/samba/smb.conf中通过设定security=ads和定义活动目录域realm = YOUR.ACTIVE.DIRECTORY.NAME 来设定。 
活动目录域成员对于Samba 3.X 是比较新的，而RPC模式更加成熟一些。ADS模式可以不考虑Windows的域控制器工作在什么模式下和域功能级别。 
推荐：如果你的Windows2000/2003活动目录(AD)域控制器(DC)工作在混合模式下,我们推荐Samba服务器以RPC模式加入.当加入RPC模式时，Samba服务不会有显著的网络功能损失和不需要经常更新DC而导致Samba服务器不能和其他的网络正确地工作。 
如果DC的运行模式/域功能级别被升级到了2000或者2003主动模式,DC仅仅与以ADS模式加入的域成员通信.同时,记住一旦一个DC的运行模式被升级,在没有删除和重建活动目录时,是不能返回到混合模式的.因此,为了达到最大的Samba兼容性,我们推荐使用DC混合模式. 
如果你想把一个基于红帽企业版Linux 3的Samba服务器加入到一个工作在ADS模式的AD域中,系统管理员应该首先保证Samba RPM软件包的版本应该至少是3.0.9-1.3E.3.这个版本之前的Samba　RPM软件包不能在活动目录环境中工作。3.0.9-1.3E.3的Samba　RPM软件包可以在红帽网络的更新频道中获得。