linux加入windows域之完美方案Word格式文档下载.docx

linux加入windows域之完美方案Word格式文档下载.docx

《linux加入windows域之完美方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《linux加入windows域之完美方案Word格式文档下载.docx（16页珍藏版）》请在冰点文库上搜索。

1.samba服务器软件需求 

krb5-workstation-1.2.7-19 

pam_krb5-1.70-1 

krb5-devel-1.2.7-19 

krb5-libs-1.2.7-19 

samba-3.0.5-2 

[root@filesrvCentOS]#rpm-qa|grepkrb5

krb5-auth-dialog-0.7-1

krb5-libs-1.6.1-25.el5

krb5-devel-1.6.1-25.el5

pam_krb5-2.2.14-1

krb5-workstation-1.6.1-25.el5

[root@filesrvCentOS]#rpm-qa|grepsamba

samba-swat-3.0.28-0.el5.8

samba-common-3.0.28-0.el5.8

samba-client-3.0.28-0.el5.8

samba-3.0.28-0.el5.8

如果centos在安装的时候没有取消默认选中的”Base”,则krb5的包是默认全部安装

如果没有选择安装samba可以这样安装

[root@filesrvCentOS]#rpm-ivhxinetd-2.3.14-10.el5.i386.rpm

[root@filesrvCentOS]#rpm-ivh--aidsamba*.rpm

2.配置kerberos和samba

因为笔者用的系统为centos所以为保证一次成功的准确率，这里就使用字符界面下的图形工具来配置了。

运行setup工具

认证配置

选择：

“usewinbind”

“usekerberos”

“usewinbindauthertication”

删除adminserver 

其余的改成真实情况

Realm为域名,KDC为域服务器的ip

配置winbind

Domain为你的域的，左面第一个”.”前面的东东

选择”joindomain”,提示是否先保存配置信息，肯定是yes了。

嘿嘿，看到这个画面是不是想到了xp机器加入到域的情景？

没错就是那个！

输入ad域的管理员密码吧☺

不出意外的话，你就到达了最后一个界面，肯定ok,然后退出了。

一般来说，只要两台机器的时间上下不差五分钟，且项都配置正确的话，你就会看到下面这个图片。

看到这个图片说明你的linux成功加入到ad域啦!

OK,用图形的好处就是方便快捷，但是这样只适合rh系统。

别的linux系统咋办呢？

别急。

这个工具其实就是编辑以下三个配置文件：

/etc/nsswitch.conf

passwd:

files 

winbind（就是先读files 

然后再通过winbind认证）

shadow:

winbind

group:

/etc/krb5.conf

[logging]

default=FILE:

/var/log/krb5libs.log

kdc=FILE:

/var/log/krb5kdc.log

admin_server=FILE:

/var/log/kadmind.log

[libdefaults]

default_realm=RAINBIRD.NET（默认的域名）

dns_lookup_realm=false

dns_lookup_kdc=false

ticket_lifetime=24h

forwardable=yes

[realms]

EXAMPLE.COM={

kdc=:

88

admin_server=:

749

default_domain=

}

RAINBIRD.NET={

kdc=192.168.1.241:

88（域服务器）

kdc=192.168.1.241

[domain_realm]

=EXAMPLE.COM

=RAINBIRD.NET

[appdefaults]

pam={

debug=false

ticket_lifetime=36000

renew_lifetime=36000

forwardable=true

krb4_convert=false

/etc/samba/smb.conf

workgroup=RAINBIRD//域名

passwordserver=192.168.1.241//域服务器

realm=RAINBIRD.NET

security=ads//必须启用

idmapuid=16777216-33554431

idmapgid=16777216-33554431

templateshell=/bin/bash

winbindusedefaultdomain=false 

（改成true）

winbindofflinelogon=false（改成true）

templatehomedir=/home/%U

winbindseparator=/

winbindenumusers=Yes

winbindenumgroups=Yes

红色部分就是工具自动修改的了，但是smb.conf修改的不彻底，还不能满足我们的要求，怎么办呢？

手动把蓝色部分加上，并把那两个false改成ture,然后设置samba的开机自动启动chkconfigsmbon,servicesmbon启动服务，然后就是手工把linux加入到windows了

[root@filesrv~]#netadsjoin-Uadministrator@RAINBIRD.NET

administrator@RAINBIRD.NET'

spassword:

Theworkgroupin/etc/samba/smb.confdoesnotmatchtheshort

domainnameobtainedfromtheserver.

Usingthename[RAINBIRD]fromtheserver.

Youshouldset"

workgroup=RAINBIRD"

in/etc/samba/smb.conf.

Usingshortdomainname--RAINBIRD

Joined'

FILESRV'

torealm'

RAINBIRD.NET'

提示“Joined”哟，不是这个提示就是有问题，再仔细检查。

OK,重启linux，这时候用一个域用户登陆linux如果提示用户或密码验证失败，说明你重启之前的东西没配置对。

仔细检查一下哪里不对呢？

如果提示如下，那么恭喜你，可以继续下一个话题了。

3.自动创建用户目录.

用到的文件pam_mkhomedir.so

在/etc/pam.d/sysconf-auth文件中的sesson部分添加一行

session 

required 

pam_mkhomedir.sosilentskel=/etc/skelumask=0077

silent不打印创建目录信息

skel 

告诉pam_mkhomedir.so拷贝/etc/skel里的文件到新创建的目录里.

umask 

是创建的目录的权限

创建哪个目录是在smb.conf里的templatehomedir定义的

如图:

保存退出,重启一下X-window。

再次用域用户登陆，是不是成功看到了久违的linux桌面呢?

Ok,到此为止,linux加入windows的故事就讲完了。

而samba服务器通过ad域认证并实现每个用户500M的共享空间，且当用户登陆windows域的时候自动挂载已经成型，近期放出，敬请期待。

Linux加入windowsad域步骤详解（winbindsamba方案）

linux加入域中，一般都会想到加入LDAP中，这样管理起来方便，不过在linux下LDAP配置起来可不是很容易的，在企业办公环境中一般windowsAD域占据霸主地位，配置方便嘛，针对生产环境的linux集群机器才会选择LDAP，不过有时候在办公环境中也混杂了linux机器，为了规范管理，也是需要把linux机器加入window是AD中的。

linux加入windowsAD中方便操作的有两种方案（分为centos/ubuntu两种情况）。

都说了是方便操作，那必然是懒人的首选方法了。

1likewise-open

在debian/ubuntu中使用，可以使用apt安装，配置方便，但是由于likewise的公司被收购，likewise的相关产品不再是开源产品，更杯具的是网上连以前的源码包都找不到，还好ubuntu中目前还是可以通过apt安装的。

2winbind+samba

在centos上使用，之前下载了一份ubuntu上的likewise的源码在centos上编译发现相关底层库有些小问题，顾在centos上采用winbind+samba方案。

在ubuntu下使用likewise真是十分方便，apt安装完后，两条命令就可以把机器加入windowsAD中，如下：

复制代码代码如下:

domainjoin-clijoinyour-domain-nameAdministrator

lwconfigAssumeDefaultDomainTrue

所以，本文主要实验centos加入windowsAD的情况

实验环境:

centos6.4

安装相关依赖包

yuminstallkrb5-libskrb5-develpam_krb5krb5-workstationkrb5-auth-dialogyuminstallsamba-winbindsambasamba-commonsamba-clientsamba-winbind-clients

安装完相关软件后，可以使用authconfig-tui命令进行图像化配置，其实图像化配置也就是修改几个文件而已：

nsswitch.conf

#/etc/nsswitch.conf

fileswinbind

以上配置的意思是先通过文件配置验证，然后再进行winbind验证

2smb.conf

#/etc/samba/smb.conf域名一定得大写

[global]

workgroup=YOUR-DOMIAN

passwordserver=172.16.14.20

realm=YOUR-DOMIAN

security=ads

idmapconfig*:

range=16777216-33554431

templateshell=/bin/bash

winbindusedefaultdomain=true

winbindofflinelogon=true

templatehomedir=/home/%U

winbindseparator=/

winbindenumusers=Yes

切记你的域名一定得大写

3krb5.conf

#/etc/krb5.conf域名必须得大写

/var/log/krb5libs.log

/var/log/krb5kdc.log

/var/log/kadmind.log

[libdefaults]

default_realm=YOUR-DOMIAN

dns_lookup_kdc=false

renew_lifetime=7d

[realms]

YOUR-DOMIAN={

kdc=172.16.14.20#AD域服务器地址

}

your-domian=YOUR-DOMIAN

.your-domian=YOUR-DOMIAN

重启相关服务

/etc/init.d/smbrestart/etc/init.d/winbindrestart

现在把机器加入AD域中：

netadsjoin-UAdministrator

回车后需要输入AD域的管理员密码，加入域之后可以通过wbinfo命令进行验证。

在用域账号登陆时，在目的机器上因为没有相关账号，所以域账号是没有家目录的，需要在域账号登陆时自动建立相关家目录

在以下两个文件中加入如下内容：

sessionrequiredpam_mkhomedir.soumask=0022skel=/etc/skel/silent

/etc/pam.d/system-auth/etc/pam.d/sshd

这样在通过ssh登陆时，系统会自动创建域账号的家目录。

pam模块在/lib64/security目录里面。