Chinaunix首页 | 论坛 | 博客
  • 博客访问: 567415
  • 博文数量: 118
  • 博客积分: 2114
  • 博客等级: 大尉
  • 技术积分: 1275
  • 用 户 组: 普通用户
  • 注册时间: 2009-03-10 00:02
文章分类

全部博文(118)

文章存档

2019年(1)

2018年(4)

2017年(1)

2016年(6)

2015年(1)

2014年(1)

2013年(5)

2012年(4)

2011年(17)

2010年(13)

2009年(65)

分类: LINUX

2010-10-26 11:11:00

:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://oskb.blogbus.com/logs/41131986.html

环境介绍:
PDC(域控制器)

  • 操作系统: Windows server 2003 企业版
  • 主机名:dc01.contoso.com
  • Netbios name:dc01
  • 域名:contoso.com
  • IP 地址:172.20.5.240

客户端:

  • 操作系统:CentOS release 5.2 (Final)
  • 主机名: vm12s00
  • Netbios name : linux
  • IP 地址:172.20.5.45
  • Samba 版本:3.0.28

配置过程:

1. 配置nsswitch.conf

[root@vm02s00 ~]# cat /etc/nsswitch.conf |grep winbind
passwd:     files winbind
group:      files winbind

2.配置samba

[root@vm02s00 ~]# vi /etc/samba/smb.conf
workgroup = contoso
netbiosname = linux
server string = Samba server
log file = /var/log/samba/%m.log
max log size = 50
security = domain
password server = dc01.contoso.com
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
wins support = yes
dns proxy = no
idmap uid = 15000-20000
idmap gid = 15000-20000
template shell = /bin/bash
winbind use default domain = yes
winbind enum groups = yes
winbind enum users = yes
winbind separator = /
template homedir = /homes/%D/%U

3.配置kerberos

[root@vm02s00 ~]# vi /etc/krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = CONTOSO.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 CONTOSO.COM = {
  kdc = dc01.contoso.com:88
  admin_server = dc01.contoso.com:749
  default_domain = contoso.com
 }

[domain_realm]
 .contoso.com = CONTOSO.COM
 contoso.com = CONTOSO.COM

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

4.指定DNS Server在Linux

[root@vm02s00 ~]# cat /etc/resolv.conf
nameserver 172.20.5.240

5.重启 network 服务,以使上面的设置生效
# service network restart

6.重启 samba 和 winbind 服务
# service smb restart
# service winbind restart

7.将linux加入 windows 2003 域

[root@vm02s00 ~]# net rpc join -S dc01.contoso.com -U administrator
Password:
Joined domain CONTOSO.

# 上面提示加入 test 域成功。

8.重启 samba 和 winbind 服务
# service smb restart
# service winbind restart

9.测试 samba 的域成员状态

[root@vm02s00 ~]# net rpc testjoin
Join to 'CONTOSO' is OK

10.到此为止,linux 已经成功加入域,这时候就可以在 AD 的 computer 处看到这台 linux 主机了。

11.用wbinfo命令查看用winbindd服务连接PDC抓到的域内的用户和组的信息

[root@vm02s00 ~]# wbinfo -u
administrator
guest
support_388945a0
krbtgt
xypan
child$
fuck
iwam_bl10e-11
iusr_bl10e-11
yrzheng
eric
[root@vm02s00 ~]# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
domain admins
domain users
domain guests
group policy creator owners
dnsupdateproxy
[root@vm02s00 ~]# wbinfo -t
checking the trust secret via RPC calls succeeded

12.检查PDC用户(组)转换为本地用户(组)UID和GIU情况:

[root@vm02s00 ~]# getent passwd |grep CONTOSO
administrator:*:15000:15000:Administrator:/homes/CONTOSO/administrator:/bin/bash
guest:*:15001:15001:Guest:/homes/CONTOSO/guest:/bin/bash
support_388945a0:*:15002:15000:SUPPORT_388945a0:/homes/CONTOSO/support_388945a0:/bin/bash
krbtgt:*:15003:15000:krbtgt:/homes/CONTOSO/krbtgt:/bin/bash
xypan:*:15004:15000:xinyu pan:/homes/CONTOSO/xypan:/bin/bash
child$:*:15005:15000:CHILD$:/homes/CONTOSO/child_:/bin/bash
fuck:*:15006:15000:fuck xxxx:/homes/CONTOSO/fuck:/bin/bash
iwam_bl10e-11:*:15007:15000:IWAM_BL10E-11:/homes/CONTOSO/iwam_bl10e-11:/bin/bash
iusr_bl10e-11:*:15008:15000:IUSR_BL10E-11:/homes/CONTOSO/iusr_bl10e-11:/bin/bash
yrzheng:*:15009:15000:yrzheng:/homes/CONTOSO/yrzheng:/bin/bash
eric:*:15010:15000:eric:/homes/CONTOSO/eric:/bin/bash

[root@vm02s00 ~]# getent group

domain computers:*:15002:
domain controllers:*:15003:
schema admins:*:15004:administrator
enterprise admins:*:15005:administrator
domain admins:*:15006:xypan,administrator
domain users:*:15000:
domain guests:*:15001:
group policy creator owners:*:15007:administrator
dnsupdateproxy:*:15008:

13.配置实现用windows账户登录linux通过SSH,加入下面红色3行

[root@vm02s00 ~]# vi /etc/pam.d/sshd
#%PAM-1.0
auth       sufficient   pam_winbind.so
auth       include      system-auth
account    sufficient   pam_winbind.so
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    required     pam_loginuid.so
session    required     pam_mkhomedir.so

14.通过别的机器ssh登录linux,直接进入smb.conf中指定的home目录

[root@centos ~]# ssh eric@172.20.5.45
eric@172.20.5.45's password:
Creating directory '/homes/CONTOSO/eric'.
Creating directory '/homes/CONTOSO/eric/.kde'.
Creating directory '/homes/CONTOSO/eric/.kde/Autostart'.
Creating directory '/homes/CONTOSO/eric/.mozilla'.
Creating directory '/homes/CONTOSO/eric/.mozilla/plugins'.
Creating directory '/homes/CONTOSO/eric/.mozilla/extensions'.

[eric@vm02s00 ~]$ pwd
/homes/CONTOSO/eric

注意:如果在PDC域中新建了用户或者为某个用户修改了密码,需要重新刷新samba服务和winbind服务,如下
service smb stop
service winbind stop
rm -f /etc/samba/*.tdb
rm -f /var/cache/samba/*.tdb
net rpc join -S dc01.contoso.com -U Administrator
service smb start
service winbind start

参考:click

附录:关于是应该是使用 RPC 还是 ADS  的一点参考
我应该以ADS模式还是以RPC模式,把我的红帽企业Linux Samba 3.0.x 服务器加入到Windows 2000 或者 Windows 2003活动目录域中?
解决方法:
对于Samba服务器,有两种域安全模式,加入到Windows 2000或者Windows 2003域控制器(DC‘s)控制的域中: RPC 模式 RPC(远程过程调用)模式的域成员是"NT4"样式的域成员,可以在/etc/samba/smb.conf中通过security=domain设定. 只要域控制器运行在混合模式下,Samba的基于RPC的域成员代码更加成熟和稳定可以很好地与Windows2000/2003域控制器工作。混合模式是Windows2000/2003域控制器的默认运行模式。 
ADS 模式 ADS(活动目录服务)模式的域成员,可以在 /etc/samba/smb.conf中通过设定security=ads和定义活动目录域realm = YOUR.ACTIVE.DIRECTORY.NAME 来设定。 
活动目录域成员对于Samba 3.X 是比较新的,而RPC模式更加成熟一些。ADS模式可以不考虑Windows的域控制器工作在什么模式下和域功能级别。 
推荐:如果你的Windows2000/2003活动目录(AD)域控制器(DC)工作在混合模式下,我们推荐Samba服务器以RPC模式加入.当加入RPC模式时,Samba服务不会有显著的网络功能损失和不需要经常更新DC而导致Samba服务器不能和其他的网络正确地工作。 
如果DC的运行模式/域功能级别被升级到了2000或者2003主动模式,DC仅仅与以ADS模式加入的域成员通信.同时,记住一旦一个DC的运行模式被升级,在没有删除和重建活动目录时,是不能返回到混合模式的.因此,为了达到最大的Samba兼容性,我们推荐使用DC混合模式. 
如果你想把一个基于红帽企业版Linux 3的Samba服务器加入到一个工作在ADS模式的AD域中,系统管理员应该首先保证Samba RPM软件包的版本应该至少是3.0.9-1.3E.3.这个版本之前的Samba RPM软件包不能在活动目录环境中工作。3.0.9-1.3E.3的Samba RPM软件包可以在红帽网络的更新频道中获得。

阅读(2047) | 评论(1) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2010-10-26 18:57:07

很好的, 收藏了 推荐一个博客,提供很多免费软件编程电子书下载: http://free-ebooks.appspot.com