samba加入windows 2003域
?1。vi ?/etc/resolv.conf?
nameserver???????????192.168.2.110
#?linux?加入?windows 2003?域,也要在?Linux?將?DNS?服務(wù)器的地址指向?windows?域的?DNS?服務(wù)器,默認(rèn)一般就是域控制器,如果沒(méi)有在Linux中設(shè)置?DNS?服務(wù)器地址的話,在加入域時(shí)會(huì)提示:“Unable to find a suitable server”
2.vi ?/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = VENUS.COM ?# 大寫(xiě)域名
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[realms]
VENSU.COM = { ?# 大寫(xiě)域名
kdc = 172.16.10.2:88 ?# 域伺服器IP
admin_server = 172.16.10.2:749 ?# 域伺服器IP
default_domain = venus.com? ?# 這里就不用大寫(xiě)了
}
[domain_realm]
.venus.com = VENUS.COM? # 域驗(yàn)證范圍
venus.com = VENUS.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
3.連接AD server
kinit?administrator@VENUS.COM
Kerberos 的 kinit 命令將測(cè)試服務(wù)器間的通信,后面的域名VENUS.COM 是你的活動(dòng)目錄的域名,必須大寫(xiě),否則會(huì)收到錯(cuò)誤信息:
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
如果通信正常,你會(huì)提示輸入口令,口令正確的話,就返回 bash 提示符,如果錯(cuò)誤則報(bào)告:
kinit(v5): Preauthentication failed while getting initial credentials.
這一步代表了已經(jīng)可以和AD server做溝通了,但并不代表Samba Server已經(jīng)加入域了。
4.編輯/etc/samba/smb.conf
[global]
??????? workgroup = VENUS? ?# 一定要填自己的domain名稱(chēng)(大寫(xiě))
netbios name = redhat? #你的linux主機(jī)名
idmap uid??? = 15000-20000
??????? idmap gid??? = 15000-20000
??????? winbind enum groups = yes
??????? winbind enum users? = yes
??????? winbind separator?? = /
emplate homedir = /home/%D/%U
??????? template shell?? = /bin/bash
參數(shù)解析:
idmap uid?:指定一個(gè)uid范圍,該范圍內(nèi)的uid被用來(lái)映射UNIX用戶到windows用戶SID,而且要確保這個(gè)id范圍內(nèi)沒(méi)有被本地或者NIS用戶占用,winbind啟動(dòng)以后,也不能在該ID范圍內(nèi)添加用戶。
idmap gid?:?指定一個(gè)gid范圍,該范圍內(nèi)的gid被用來(lái)映射UNIX用戶到windows的組SID,而且要確保這個(gè)id范圍內(nèi)沒(méi)有被本地或者NIS組占用,winbind啟動(dòng)以后,也不能在該ID范圍內(nèi)添加新組。
?winbind enum groups和winbind enum users?:?指定winbind是否在系統(tǒng)上創(chuàng)建域的組/用戶,一般情況下都要設(shè)置為yes,除非你處于某種原因希望關(guān)閉該功能。
?winbind separator?:?指定一個(gè)字符作為分隔符,winbind將使用該分隔符來(lái)用戶或組名。使用該配置將使得域用戶表示為"MYDOMAIN+username",域組被表示為"MYDOMAIN+Domain Users"
template homedir?:?用來(lái)指定為域用戶產(chǎn)生主目錄。上面的示例中使用了變量替換,將使得winbind把用戶主目錄設(shè)置為/homes/MYDOMAIN/username。
需要注意的是如果希望特定域或者所有域用戶在samba目錄有主目錄,那么管理員必須手工創(chuàng)建,雖然template homedir控制samba在哪里尋找域用戶的主目錄,但是不會(huì)自動(dòng)創(chuàng)建。
[homes]??
?comment?=?Home?Directories
?path?=?/home/%D/%U??
?browseable?=?no?
??writable?=?yes?
??valid?users?=?%U
5. 編輯 vi /etc/nsswitch.conf??
?????????passwd: files? winbind?
??????? group: ?files winbind
6.[root @nuolin root~]# service ?smb ?restart?????????????#啟動(dòng)?samba?服務(wù)
[root @nuolin root~]# service?winbind?restart???????????#啟動(dòng)?winbind?服務(wù)。
你如果要重啟主機(jī),就chkconfig smb on?和?chkconfig winbind on?,配置成隨系統(tǒng)啟動(dòng)服務(wù)。
7. [root @nuolin root]#?net rpc join -S pop.linux.com -U administrator
Password:******
Joined domain LINUX.?#?現(xiàn)在可以試一下看是否成功
8.現(xiàn)在可以用kerbrose自帶的命令來(lái)操作了.?驗(yàn)證是否可以連接域帳號(hào)。
[root @nuolin ?root] # kinit?administrator@LINUX.COM?#注意域名的大小寫(xiě)。
Password:*******
[1]kinit(v5) : cannot find KDC for requested realm while getting initial credentials?
?#?修改krb5.conf中的dns_lookup_kdc = true,繼續(xù)?。如果還出現(xiàn)這樣的錯(cuò)誤,就是域名問(wèn)題。
[2]?kinit(v5) : clock skew too great while getting initial credentials #兩臺(tái)主機(jī)之間時(shí)間不同步
?#?可以用?ntpdate ?–b 192.168.2.110?(域服務(wù)器IP)時(shí)間同步一下。
?注:這里不一定要管理員的帳號(hào),你也可以用域服務(wù)器一個(gè)帳號(hào)。如果沒(méi)報(bào)錯(cuò)就成功了。
?現(xiàn)在可以到Windows 2003?服務(wù)器上檢查一下:打開(kāi)活動(dòng)---目錄用戶和計(jì)算機(jī),查看其中的[computers]?條目,如果成功的話,就可以看到你的?Linux?服務(wù)器的主機(jī)名。
9.Kinit?Username@LINUX.COM?命令。
10.先用?wbinfo –t?檢查?RPC?連接是否成功;使用?wbinfo –u?和?wbinfo –g?獲取?windows?上的用戶和相關(guān)組。
11.用?getent passwd查看?是否已經(jīng)獲取成功。
12.restorecon -r /usr/sbin/winbindd
13.setsebool -P samba_enable_home_dir on
14.在home?目錄下建立?LINUX?域目錄,在到?LINUX?下建立用戶目錄。使用?su?—?username?切換到用戶的主目錄。這時(shí),就可以了。?雖然我們用的是administrator,但我們?cè)谠O(shè)置shell?時(shí)?用的是bash,可能用戶在linux主機(jī)里的權(quán)限相對(duì)較小。
轉(zhuǎn)載于:https://blog.51cto.com/stuart/705162
總結(jié)
以上是生活随笔為你收集整理的samba加入windows 2003域的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 梦到过世的妈妈和我说话怎么回事啊
- 下一篇: 《OEA - 实体扩展属性系统 - 设计