设为首页收藏本站

LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区!

 找回密码
 注册

QQ登录

只需一步,快速开始

#公告#抱歉,网站已关闭,不再开放。PC时代已远逝,拥抱云原生时代,拥抱k8s,请移步:https://www.v2k8s.com

学习是一种信仰!分享是一种快乐!能力= 心态 * 沟通 * 知识 (你的每一天需要正能量!)

 网站的发展需要你贡献一份力量!希望你能每天坚持看贴1小时,并回答网友的问题!祝你在浏览论坛的过程中取得进步!谢谢!linuxtone加油!大家加油! 友情提示: 你今天学习了吗?你今天进步了吗?少一点抱怨!多一点进步!Life is short ! Why not linuxtone ?  

网站的发展、感谢每位坛友的努力!

查看: 6240|回复: 3

[others] samba 与AD 2003 整合完全配置 [复制链接]

Rank: 1

签到
0
注册时间
2010-10-13
最后登录
2011-2-22
在线时间
9 小时
阅读权限
1
积分
23
帖子
3
主题
1
精华
0
UID
10607
发表于 2010-12-1 13:28:47 |显示全部楼层
本帖最后由 johnny_kgb 于 2010-12-1 13:38 编辑

  最近在做samba&AD 整合的case(就是把samba加入到AD 域中,客户端使用域帐户登陆samba服务器),在网上找了一些资料,但是在实际配置过程中,发现前辈们写的资料不太完整,于是在参考了前人总结的基础上,通过不断探索终于大功告成!当然在此过程中遇到了很多错误与困难,不过还好都一一克服,于是我想把我总结的信息共享给大家,如果能够帮到哪位兄弟,那就太好了呀~
不多说了,ok,let's go!

一、环境介绍:
1、windows server 2003 + AD
域名:dc1-test.share.com
IP:192.168.100.20
帐户:administrator
密码:123456

2、samba服务器(centos5.2)
IP:192.168.100.10
hosts:sambaserver
NetBios:sambaserver

二、配置:
1、yum安装samba、krb5
yum -y install samba* krb5*
关闭防火墙及SELINUX

2、配置/etc/krb5.conf
mv /etc/krb5.conf /etc/krb5.conf.bak
vi /etc/krb5.conf

##############################################
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SHARE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
LINUX.COM = {
  kdc = 192.168.100.20:88
  admin_server = 192.168.100.20:749
  default_domain = share.com
}

[domain_realm]
.share.com  = SHARE.COM
share.com = SHARE.COM


[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
##################################################

和AD同步时间:
ntpdate -b 192.168.100.20

配置完成以后,可以通过kinit工具进行测试,方法如下:
kinit administrator@LINUX.COM

当出现“kinit(v5): KRB5 error code 68 while getting initial credentials"时,

需要配置winbind:(进入桌面模式下)
(1) Click System, select Administration and click Authentication. This will launch the Authentication Configuration window.
(2) Check the Enable Winbind Support and click Configure Winbind. This will launch the Winbind Settings window.
(3)In the Winbind Settings window, set the Security Model to ads and fill in the Winbind Domain, Winbind ADS Realm and Winbind Domain Controllers. See sample settings below.

config:
winbind domain:SHARE
security model:ads
winbind ADS Realm:SHARE.COM
domain controllers:dc1-test.share.com

(4) Click Join Winbind Domain and save.

再次测试:
kinit administrator@LINUX.COM
Password for administrator@SHARE.COM: (输入域管理密码后)
[root@oracle admin]#                  (成功)

查看winbind是否启动:
[root@oracle admin]# ps -ef | grep winbindd
root     24886     1  0 15:02 ?        00:00:00 winbindd
root     24888 24886  0 15:02 ?        00:00:00 winbindd
root     24897 24482  0 15:03 pts/2    00:00:00 grep winbindd


3、samba配置:
cp /etc/samba/smb.conf /etc/samba/smb.conf.bak
cat /dev/null > /etc/samba/smb.conf

vi /etc/samba/smb.conf

###########################################################
[global]
    workgroup = SHARE
    netbios name = sambaserver #使用hostname -f得到netbios名称。
    server string = Samba Server

    security = ADS
    realm = SHARE.COM
    password server = 192.168.100.20
    encrypt passwords = yes

    os level = 20
    dns proxy = no

    idmap uid = 16777216-33554431
    idmap gid = 16777216-33554431
    winbind use default domain = yes
    winbind separator = /
    winbind enum users = yes
    winbind enum groups = yes

    template homedir=/homes/%D/%U
#    client use spnego = no
    server signing = auto
[homes]
    comment = Home Directories
    path=/home/%D/%U
    valid users = %U
    browseable = no
    writable = yes
    guest ok = yes
    create mask = 0765
    directory mask = 0765
#############################################################

配置完成,要将Samba加入AD中:
net ads join -U administrator@SHARE.COM
administrator@SHARE.COM's password:
Using short domain name -- SHARE
DNS update failed!
Joined 'ORACLE' to realm 'SHARE.COM'

samba加入AD域成功!

附:net ads leave -U administrator@KEMEI.COM(退出AD)
net ads info (查看域信息)      net ads 回车,可以看多个选项

4、配置NSS:

查看/etc/nsswitch.conf

passwd:     files winbind
shadow:     files winbind
group:      files winbind

重新启动服务:/etc/init.d/smb restart
/etc/init.d/winbind restart


5、测试:

# wbinfo -t                  
checking the trust secret via RPC calls succeeded
说明主机信任已成功建立

# wbinfo -u
administrator
guest
support_388945a0
krbtgt
可以列出AD中注册的帐号信息

# wbinfo -g
BUILTIN/administrators
BUILTIN/users
domain computers
domain controllers
schema admins
enterprise admins
domain admins
domain users
domain guests
group policy creator owners
dnsupdateproxy
可以返回AD中的组信息

# getent passwd    (查看映射账户)
# getent group     (查看映射组)

6、为用户建立目录并分配权限
比如:用户为bob、域名是share、组为it
mkdir -p /home/SHARE
cd /home/SHARE/
mkdir bob
chown bob:it bob/

setfacl -R -m u:administrator:rwx bob/
这样设置就可以也给了administrator用户读写执行权限了

#getfacl bob         (查看权限)


UNC路径:
\\192.168.100.10\bob

输入用户名(SHARE\bob)
密码:123456

可以打开bob目录,证明可以使用域帐户登陆samba服务器。










Rank: 6Rank: 6

注册时间
2009-3-24
最后登录
2017-8-11
在线时间
120 小时
阅读权限
70
积分
6249
帖子
55
主题
1
精华
0
UID
2107
发表于 2010-12-1 13:51:40 |显示全部楼层
抢了个沙发!!谢谢分享!!

使用道具 举报

Rank: 4

注册时间
2010-4-10
最后登录
2011-2-15
在线时间
165 小时
阅读权限
50
积分
657
帖子
104
主题
19
精华
0
UID
8806
发表于 2010-12-1 21:39:09 |显示全部楼层
有机会试下

使用道具 举报

Rank: 2

注册时间
2010-10-11
最后登录
2011-9-1
在线时间
14 小时
阅读权限
20
积分
77
帖子
7
主题
0
精华
0
UID
10577
发表于 2011-1-19 13:36:20 |显示全部楼层
收藏先,谢谢分享。

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

IT运维专家网感谢您的支持

合作联系: QQ:67888954/MSN:cnseek@msn.com/mail:netseek@linuxtone.org

Archiver|手机版|感谢所有关心和支持过LinuxTone的朋友们 转载本站内容请注明原作者名及出处 ( 京ICP备08103151 )   |

GMT+8, 2021-9-28 03:30 , Processed in 0.022802 second(s), 14 queries , Apc On.

Powered by Discuz! X2 Licensed

© 2001-2011 Comsenz Inc.

回顶部