目的 : 將 CentOS-6.3 加入Windows 2008 R2網域,且用AD帳號登入CentOS 主機
利用最小安裝方式,將CentOS 安裝完畢
利用下列指令安裝所需要的套件,利用yum 也會將相關套件一併安裝上去
yum install samba
yum install krb5-server
yum install krb5-workstation
yum install samba-winbind
網域相關資訊
DC :
ip : 192.168.3.9
hosname : dc-srv3
網域 : pmail.idv.tw
CentOS 6.3
ip : 192.168.3.16
hostname : mail-gx
步驟 :
修改 /etc/sysconfig/network 檔案中的 HOSTNAME 為mail-gx
修改 /etc/samba/smb.conf (直接在global部分新增即可)
workgroup = PMAIL (大寫)
server string = Mail-GateWay (描述)
realm = PMAIL.IDV.TW (完整網域名稱)
netbios name = mail-gx (Linux 主機名稱)
security = ads ( 設定為ads 表示帳號認證交給DC)
password server = dc.mis888.com (密碼伺服器指的就是DC主機)
encrypt passwords = yes (編碼方式傳遞密碼)
idmap uid = 16777000-33550000
idmap gid = 16777000-33550000
winbind enum users = yes
winbind enum group = yes
winbind separator = +
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%D/%U
修改 /etc/hosts 檔案
192.168.3.9 dc-srv3.pmail.idv.tw pmail.idv.tw
修該kerberos 檔案 /etc/krb5.conf (修改黑色粗體字部分)
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = PMAIL.IDV.TW
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
PMAIL.IDV.TW = {
kdc = DC-SRV3.PMAIL.IDV.TW:88
admin_server = DC-SRV3.PMAIL.IDV.TW:749
default_domain = PMAIL.IDV.TW
}
[domain_realm]
.example.com = PMAIL.IDV.TW
example.com = PMAIL.IDV.TW
修改 /var/kerberos/krb5kdc/kdc.conf (黑色粗體字改成 網域名稱)
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
PMAIL.IDV.TW = {
#master_key_type = aes256-cts
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
supported_enctypes = aes256-cts:normal aes128-cts:normal des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
}
將samba 服務啟動,並設定開機自動啟動該服務
service smb start
chkconfig smb on
測試連線指令如下
kinit administrator@PMAIL.IDV.TW
(administrator 是網域帳號,網域MIS888.COM 一定要大寫)
下完此指令後會要輸入密碼,正確就直接回到命令提示字元
[root@mail-gx ~]# kinit administrator@PMAIL.IDV.TW
Password for administrator@PMAIL.IDV.TW:
[root@mail-gx ~]#
將linux 主機加入網域 指令如下
net rpc join -U administrator
===========================================
[root@mail-gx ~]# net rpc join -U administrator
Enter administrator’s password:
Joined domain PMAIL.
===========================================
上述即將centos 加入網域
加入網域時出現下列訊息應該是防火牆問題
先關閉iptables 後就可以加入網域了
===========================================
[root@mail-gx ~]# net rpc join -U administrator
Unable to find a suitable server for domain PMAIL
Unable to find a suitable server for domain PMAIL
===========================================
利用winbind 服務取得ad帳號
執行authconfig-tui 並將 Use Winbind 與 Use Winbind Authentication 勾選
修改 vim /etc/nsswitch.conf
============================
passwd: files winbind
group: files winbind
shadow: files winbind
============================
將winbind 服務啟動,並設定開機自動啟動該服務
service winbind start
chkconfig winbind on
取的 AD 帳號指令
wbinfo -u
[root@mail-gx ~]# wbinfo -u
administrator
guest
krbtgt
rli01
rlee01
sm_5ab0c1229c5a471ba
sm_aebbc4e2362a49bab
sm_c6e11dbebfb647b38
sm_eac96c4f1ed84b1a8
7fa
test
[root@mail-gx ~]#
建立主機(Linux Samba)使用者家目錄scripts:
當使用AD帳號登入時,可以找到自己所擁有的家目錄。
vi mkADhome.awk
=========================================================
#!/bin/awk
BEGIN {
FS=”:”
uidmin=16777000
uidmax=33550000
}
{
if ( $3 >= uidmin && $3 <= uidmax ) {
print ” make directory ” $6 ” chown ” $3 “.” $4 ” ” $6
system( “mkdir -p ” $6 “;chown ” $3 “.” $4 ” ” $6 )
}
}
=========================================================
產生AD使用者的家目錄
getent passwd | awk -f mkADhome.awk
設定Linux本身系統登入使用AD驗證。
vi /etc/pam.d/system-auth
=========================================================
# 加入以下這四行
auth sufficient /lib64/security/pam_winbind.so
account sufficient /lib64/security/pam_winbind.so
password sufficient /lib64/security/pam_winbind.so
session sufficient /lib64/security/pam_winbind.so
=========================================================
測試AD帳號登入CentOS 主機
登入後,執行id 指令即可看到是網域身份
參考資料 :
NEILs_IT技術學習分享發表Blog
本篇瀏覽人數: 6479
荣哥好,
想请教下nbns方面的问题,可以回封邮件进一步取得联系,实时聊聊可以吗?
您好
nbns 我不熟喔,抱歉
請問有沒有弄過LINUX列印服務器給windows用戶?
若有, 有沒有負載相關的資料, 如可以接受多個台打印機? 謝謝
您好
您提及的部分~~我沒有建置過,抱歉喔
想請教一下,這樣是否就可以在自己電腦上打上ftp://XXX.XXX.XXX.XXX
登入帳號密碼 (AD) 就可以使用嗎?因為我輸入AD帳號後仍無法使用….
不知道是哪邊沒有設定好,可以請你指點迷津一下嗎?謝謝
您好
是ftp 服務嗎?
您好,我想問一下,我的centos 加入了公司的網域及用samba 分享給公司網域的使用者 存取時,檔案的擁有者及群組都是domain\user,但centos 並沒有這些使用者及群組,那要如何管理呢,公司網域的使用者多到上仟個,有需要將使用者都加 入/home 目錄嗎????
您好
不好意思,我的環境中是使用windows 分享資料夾給同仁使用,所以我步是很清楚,真是抱歉