CentOS-6.3 加入Windows 2008 R2 網域

目的 : 將 CentOS-6.3 加入Windows 2008 R2網域,且用AD帳號登入CentOS 主機

利用最小安裝方式,將CentOS 安裝完畢

利用下列指令安裝所需要的套件,利用yum 也會將相關套件一併安裝上去

yum install samba
yum install krb5-server
yum install krb5-workstation
yum install samba-winbind

網域相關資訊

DC : 

ip : 192.168.3.9

hosname : dc-srv3

網域 : pmail.idv.tw

CentOS 6.3

ip : 192.168.3.16

hostname : mail-gx

步驟 :

修改 /etc/sysconfig/network 檔案中的 HOSTNAME  為mail-gx

ad-cos6.3-2

修改  /etc/samba/smb.conf (直接在global部分新增即可)
         workgroup = PMAIL (大寫)
         server string = Mail-GateWay (描述)
         realm = PMAIL.IDV.TW (完整網域名稱)
         netbios name = mail-gx (Linux 主機名稱)
         security = ads  ( 設定為ads 表示帳號認證交給DC)
         password server = dc.mis888.com (密碼伺服器指的就是DC主機)
         encrypt passwords = yes (編碼方式傳遞密碼)
         idmap uid = 16777000-33550000
        idmap gid = 16777000-33550000
        winbind enum users = yes
        winbind enum group = yes
        winbind separator = +
        winbind use default domain = yes
        template shell = /bin/bash
        template homedir =  /home/%D/%U

修改 /etc/hosts 檔案
192.168.3.9          dc-srv3.pmail.idv.tw pmail.idv.tw

修該kerberos 檔案  /etc/krb5.conf (修改黑色粗體字部分)

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = PMAIL.IDV.TW
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
 PMAIL.IDV.TW = {
  kdc = DC-SRV3.PMAIL.IDV.TW:88
  admin_server = DC-SRV3.PMAIL.IDV.TW:749
  default_domain = PMAIL.IDV.TW
}

[domain_realm]
.example.com = PMAIL.IDV.TW
example.com = PMAIL.IDV.TW

 

修改  /var/kerberos/krb5kdc/kdc.conf (黑色粗體字改成 網域名稱)

[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88

[realms]
 PMAIL.IDV.TW = {
  #master_key_type = aes256-cts
  acl_file = /var/kerberos/krb5kdc/kadm5.acl
  dict_file = /usr/share/dict/words
  admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
  supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}

 

將samba 服務啟動,並設定開機自動啟動該服務

service smb start

chkconfig smb on

 

測試連線指令如下
kinit  administrator@PMAIL.IDV.TW
(administrator 是網域帳號,網域MIS888.COM 一定要大寫)
下完此指令後會要輸入密碼,正確就直接回到命令提示字元
[root@mail-gx ~]# kinit administrator@PMAIL.IDV.TW

Password for administrator@PMAIL.IDV.TW:

[root@mail-gx ~]#

將linux 主機加入網域 指令如下

net rpc join -U administrator

===========================================

[root@mail-gx ~]# net rpc join -U administrator
Enter administrator’s password:
Joined domain PMAIL.

===========================================

上述即將centos 加入網域

ad-cos6.3-1

加入網域時出現下列訊息應該是防火牆問題

先關閉iptables 後就可以加入網域了

===========================================

[root@mail-gx ~]# net rpc join -U administrator
Unable to find a suitable server for domain PMAIL
Unable to find a suitable server for domain PMAIL

===========================================

 

利用winbind 服務取得ad帳號

執行authconfig-tui  並將 Use Winbind 與 Use Winbind Authentication  勾選

ad-cos6.34-

修改 vim /etc/nsswitch.conf

============================

passwd:    files    winbind
group:       files    winbind
shadow:    files   winbind

============================

將winbind 服務啟動,並設定開機自動啟動該服務

service winbind start

chkconfig winbind on

取的 AD 帳號指令
wbinfo -u

[root@mail-gx ~]# wbinfo -u
administrator
guest
krbtgt
rli01
rlee01
sm_5ab0c1229c5a471ba
sm_aebbc4e2362a49bab
sm_c6e11dbebfb647b38
sm_eac96c4f1ed84b1a8
7fa
test
[root@mail-gx ~]#

ad-cos6.3-3

建立主機(Linux Samba)使用者家目錄scripts:

當使用AD帳號登入時,可以找到自己所擁有的家目錄。

vi  mkADhome.awk
=========================================================

#!/bin/awk
BEGIN {
FS=":"
uidmin=16777000
uidmax=33550000
}
{
        if ( $3 >= uidmin && $3 <= uidmax ) {
              print " make directory " $6 " chown " $3 "." $4 " " $6
              system( "mkdir -p " $6 ";chown " $3 "." $4 " " $6 )
        }
}
=========================================================

產生AD使用者的家目錄

getent passwd | awk -f mkADhome.awk

設定Linux本身系統登入使用AD驗證。

vi /etc/pam.d/system-auth
=========================================================
# 加入以下這四行
auth             sufficient     /lib64/security/pam_winbind.so
account        sufficient     /lib64/security/pam_winbind.so
password     sufficient     /lib64/security/pam_winbind.so
session         sufficient     /lib64/security/pam_winbind.so
=========================================================

 

測試AD帳號登入CentOS 主機

登入後,執行id 指令即可看到是網域身份

ad-cos6.3-6

參考資料 :

回憶……! :: 痞客邦 PIXNET ::

NEILs_IT技術學習分享發表Blog



本篇瀏覽人數: 2287
本篇發表於 Linux-AD整合相關。將永久鏈結加入書籤。

CentOS-6.3 加入Windows 2008 R2 網域 有 8 則回應

  1. NBNS 說道:

    荣哥好,
    想请教下nbns方面的问题,可以回封邮件进一步取得联系,实时聊聊可以吗?

  2. kk 說道:

    請問有沒有弄過LINUX列印服務器給windows用戶?
    若有, 有沒有負載相關的資料, 如可以接受多個台打印機? 謝謝

  3. Albert 說道:

    想請教一下,這樣是否就可以在自己電腦上打上ftp://XXX.XXX.XXX.XXX

    登入帳號密碼 (AD) 就可以使用嗎?因為我輸入AD帳號後仍無法使用….

    不知道是哪邊沒有設定好,可以請你指點迷津一下嗎?謝謝

  4. yamanchiao 說道:

    您好,我想問一下,我的centos 加入了公司的網域及用samba 分享給公司網域的使用者 存取時,檔案的擁有者及群組都是domain\user,但centos 並沒有這些使用者及群組,那要如何管理呢,公司網域的使用者多到上仟個,有需要將使用者都加 入/home 目錄嗎????

發表迴響

您的電子郵件位址並不會被公開。 必要欄位標記為 *

*

您可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>