1、linux加入windows域之完美方案 笔者这几天在研究samba服务通过ad域进行用户验证。在查资料的过程中发现。关于linux加入windows域,网上资料不少,但是按着网上的说法做大多不成功,甚至很多人估计都不知道自己在说什么,最后一个net ads join就认为已经成功加入到域了,可是然后呢?作为域内的一个成员,普通的机器要可以提供域内的用户登陆;作为samba服务要把共享加入到目录中,这样才起到加入域的作用嘛。笔者经过反复实验,终于把linux加入到windows域一些细节记录下来,不敢独享,特拿出。笔者用的linux为centos5.3。ad域为win2k3 sp2。域为:RW
2、in2k3:Name:ad1Ip:192.168.1.241Dns:192.168.1.241Centos5.3:Name:FilesrvIp:192.168.1.246Dns:192.168.1.241Ok,lets go!1.samba服务器软件需求 krb5-workstation-1.2.7-19 pam_krb5-1.70-1 krb5-devel-1.2.7-19 krb5-libs-1.2.7-19 samba-3.0.5-2 rootfilesrv CentOS# rpm -qa|grep krb5krb5-auth-dialog-0.7-1krb5-libs-1.6.1-25
3、.el5krb5-devel-1.6.1-25.el5pam_krb5-2.2.14-1krb5-workstation-1.6.1-25.el5rootfilesrv CentOS# rpm -qa|grep sambasamba-swat-3.0.28-0.el5.8samba-common-3.0.28-0.el5.8samba-client-3.0.28-0.el5.8samba-3.0.28-0.el5.8如果centos在安装的时候没有取消默认选中的”Base”,则krb5的包是默认全部安装如果没有选择安装samba可以这样安装rootfilesrv CentOS# rpm -iv
4、h xinetd-2.3.14-10.el5.i386.rpmrootfilesrv CentOS# rpm -ivh -aid samba*.rpm2.配置kerberos和samba因为笔者用的系统为centos所以为保证一次成功的准确率,这里就使用字符界面下的图形工具来配置了。运行setup工具认证配置选择:“use winbind”“use kerberos”“use winbind authertication”删除admin server 其余的改成真实情况Realm为域名,KDC为域服务器的ip配置winbindDomain为你的域的,左面第一个”.”前面的东东选择”join d
5、omain”,提示是否先保存配置信息,肯定是yes了。嘿嘿,看到这个画面是不是想到了xp机器加入到域的情景?没错就是那个!输入ad域的管理员密码吧J不出意外的话,你就到达了最后一个界面,肯定ok,然后退出了。一般来说,只要两台机器的时间上下不差五分钟,且项都配置正确的话,你就会看到下面这个图片。看到这个图片说明你的linux成功加入到ad域啦!OK,用图形的好处就是方便快捷,但是这样只适合rh系统。别的linux系统咋办呢?别急。这个工具其实就是编辑以下三个配置文件:/etc/nsswitch.confpasswd: files winbind(就是先读files 然后再通过winbind认证
6、)shadow: files winbindgroup: files winbind/etc/krb5.confloggingdefault = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.loglibdefaultsdefault_realm = RAINBIRD.NET(默认的域名)dns_lookup_realm = falsedns_lookup_kdc = falseticket_lifetime = 24hforwardable = yes
7、realmsEXAMPLE.COM = kdc = :88admin_server = :749default_domain = RAINBIRD.NET = kdc = 192.168.1.241:88(域服务器)kdc = 192.168.1.241domain_realm = EXAMPLE.COM = EXAMPLE.COM = RAINBIRD.NET = RAINBIRD.NETappdefaultspam = debug = falseticket_lifetime = 36000renew_lifetime = 36000forwardable = truekrb4_conve
8、rt = false/etc/samba/smb.confworkgroup = RAINBIRD/域名password server = 192.168.1.241/域服务器realm = RAINBIRD.NETsecurity = ads/必须启用idmap uid = 16777216-33554431idmap gid = 16777216-33554431template shell = /bin/bashwinbind use default domain = false (改成true)winbind offline logon = false(改成true)template
9、homedir = /home/%Uwinbind separator = /winbind enum users = Yeswinbind enum groups = Yes红色部分就是工具自动修改的了,但是smb.conf修改的不彻底,还不能满足我们的要求,怎么办呢?手动把蓝色部分加上,并把那两个false改成ture,然后设置samba的开机自动启动chkconfig smb on,service smb on启动服务,然后就是手工把linux加入到windows了rootfilesrv # net ads join -U administratorRAINBIRD.NETadminis
10、tratorRAINBIRD.NETs password:The workgroup in /etc/samba/smb.conf does not match the shortdomain name obtained from the server.Using the name RAINBIRD from the server.You should set workgroup = RAINBIRD in /etc/samba/smb.conf.Using short domain name - RAINBIRDJoined FILESRV to realm RAINBIRD.NET提示“J
11、oined”哟,不是这个提示就是有问题,再仔细检查。OK,重启linux,这时候用一个域用户登陆linux如果提示用户或密码验证失败,说明你重启之前的东西没配置对。仔细检查一下哪里不对呢?如果提示如下,那么恭喜你,可以继续下一个话题了。3.自动创建用户目录.用到的文件pam_mkhomedir.so在/etc/pam.d/sysconf-auth文件中的sesson部分添加一行session required pam_mkhomedir.so silent skel=/etc/skel umask=0077silent不打印创建目录信息skel 告诉pam_mkhomedir.so拷贝/etc
12、/skel里的文件到新创建的目录里.umask 是创建的目录的权限创建哪个目录是在smb.conf里的template homedir定义的如图:保存退出,重启一下X-window。再次用域用户登陆,是不是成功看到了久违的linux桌面呢?Ok,到此为止,linux加入windows的故事就讲完了。而samba服务器通过ad域认证并实现每个用户500M的共享空间,且当用户登陆windows域的时候自动挂载已经成型,近期放出,敬请期待。本文实现了samba服务被访问的时候通过windows域服务器进行用户名和密码验证;认证通过的用户可以自动分配500M的共享空间;在用户通过windows域登陆系
13、统的时候可以自动把这块空间映射成一块硬盘。环境说明:文件服务器用的Centos5.3,域控用的Win2k3 sp2,Domain是。Centos5.3:Name:FilesrvIP:192.168.1.245Dns:192.168.1.241Samba:3.0.33-3.7.el5Win2k3:Name:ad1Ip:192.168.1.241Dns:192.168.1.241Ok,lets move!因为是服务器配置,所以本文的操作都是在字符界面下直接编辑文件。当然为了提高工作效率其中一部分配置是可以在图形界面下配的。前提是你必须是redhat/centos系统。如果是的话,可以参考我上一篇文
14、章来做J1.samba服务器软件需求 krb5-workstation-1.2.7-19 pam_krb5-1.70-1 krb5-devel-1.2.7-19 krb5-libs-1.2.7-19 samba-3.0.5-2 rootfilesrv CentOS# rpm -qa|grep krb5krb5-auth-dialog-0.7-1krb5-libs-1.6.1-25.el5krb5-devel-1.6.1-25.el5pam_krb5-2.2.14-1krb5-workstation-1.6.1-25.el5rootfilesrv CentOS# rpm -qa|grep sam
15、basamba-swat-3.0.28-0.el5.8samba-common-3.0.28-0.el5.8samba-client-3.0.28-0.el5.8samba-3.0.28-0.el5.8如果centos在安装的时候没有取消默认选中的”Base”,则krb5的包是默认全部安装如果没有选择安装samba可以这样安装rootfilesrv CentOS# rpm -ivh xinetd-2.3.14-10.el5.i386.rpmrootfilesrv CentOS# rpm -ivh -aid samba*.rpm2.配置kerberos(关键) 下面配置参数让 Kerberos
16、进程知道处理活动目录服务器,对 /etc/krb5.conf 做适当的修改,修改时需要注意的是 Kerberos 是大小写敏感的。 这是我的krb5.conf配置文件: logging default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log libdefaults ticket_lifetime = 24000 default_realm = RAINBIRD.NET /默认域名dns_lookup_realm = false dn
17、s_lookup_kdc = false realms RAINBIRD.NET = kdc = 192.168.1.241:88 /域服务器ip# admin_server = :749 default_domain = RAINBIRD.NET domain_realm . = RAINBIRD.NET = RAINBIRD.NET kdc profile = /var/kerberos/krb5kdc/kdc.conf appdefaults pam = debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwar
18、dable = true krb4_convert = false 3.测试kerberoskinit administratorRAINBIRD.NET kinit 命令将测试服务器间的通信,administrator为域内存在的用户, RAINBIRD.NET 是你的活动目录的域名,必须大写。正确操作的提示:rootfilesrv# kinit administratorRAINBIRD.NET Password for administratorRAINBIRD.NET: (正确输入密码后直接返回)rootfilesrv#可能遇到的几个常见错误:域名错误: kinit(v5): Cann
19、ot find KDC for requested realm while getting initial credentials. 密码错误,验证失败:kinit(v5): Preauthentication failed while getting initial credentials. 用户不存在:kinit(v5): Client not found in Kerberos database while getting initial credentia 时间不一致:kinit(v5): Clock skew too great while getting initial crede
20、ntials4.修改/etc/nsswitch.confpasswd: files winbindshadow: files winbindgroup: files winbind5.配置samba 修改/etc/samba/smb.conf如下几行 workgroup = RAINBIRDserver string = Filesrvpassword server = AD1.RAINBIRD.NET /域服务器,可以用ip也可以用域名realm = RAINBIRD.NET /活动目录服务器域名security = ads /采用活动目录认证方式idmap uid = 16777216-3
21、3554431idmap gid = 16777216-33554431template shell = /sbin/nologintemplate homedir = /home/%Uwinbind use default domain = truewinbind offline logon = truewinbind enum groups = yeswinbind enum users = yeswinbind separator = /红色部分是要修改的,蓝色部分是要新增的。建议直接把已经存在的注释掉,把这里列出来的东西,直接放进去,这样在一块方便查找。我们现在把samba服务器加入w
22、indows域。rootfilesrv1 samba# net ads join -U administratorRAINBIRD.NETadministratorRAINBIRD.NETs password:Using short domain name - RAINBIRDJoined FILESRV1 to realm RAINBIRD.NET提示是”Joined”哟加入失败可能的原因:两台机器的时间不一致!重新启动服务 service smb restart service winbind restart设定服务开机自动启动chkconfig smb onchkconfig winbi
23、nd on咱们去Windows 2003 服务器上检查一下:打开活动目录用户和计算机,查看其中的条目,如果成功的话,就可以看到你的 Linux 服务器。这里样你可以用wbinfo做一些测试验证Samba主机已成功加入ADrootfilesrv samba# wbinfo -tchecking the trust secret via RPC calls succeeded说明主机信任已成功建立使用wbinfo u 可以列出AD中注册的帐号信息rootfilesrv samba# wbinfo -uadministratorguestsupport_388945a0krbtgtrainbirdr
24、ainbowaa1a2roota3a4a5a6a7a8a9a10Wbinfo g可以返回AD中的组信息rootfilesrv samba# wbinfo -gdomain computersdomain controllersschema adminsenterprise adminsdomain adminsdomain usersdomain guestsgroup policy creator ownersdnsupdateproxy可能的错误如果你wbinfo t 测试的时候提示如下:rootfilesrv samba# wbinfo -tchecking the trust secr
25、et via RPC calls failederror code was (0x0)Could not check secret说明你winbind服务没起动,重启一下就OK了当然了有必要说一下,winbind如果提示启动成功但没有启动的话,有可能是因为你没有加入到域,所以严格按本文的操作步骤来做,你不会错过J6.自动创建用户目录细心的朋友可能发现从开篇一直到现在除了操作方式不一定以外,所做的事情和没有太大的区别。嗯,笔者不置可否,估且这么理解吧。希望有点小细节您注意到了,在smb.conf中,有一句template shell = /sbin/nologin。是的,samba服务器,我们只
26、希望他提供samba服务,不希望有用户登陆。在上一篇文章中解决用户登陆时主目录不存在的问题,用的是pam_mkhomedir.so这个东东。在文件共享这块,笔者意外的发现,这个文件,对于通过samba访问过来的请求不会创建主目录!这可如何是好?这就是脚本mkhome.sh存在的原因。#!/bin/bashuser=$1group=$2home=/home/$1if ! -d $home ; thenmkdir -p $homechown $user $homechgrp $group $homechmod 700 $homeedquota -p administrator -u $userfi
27、这个脚本接受两个参数,一个是用户名,一个是组名。然后给这个用户创建目录,并分配权限,然后再给分配一下用户空间。Ok,回头看一下smb.conf文件。homescomment = Home Directoriespath = /home/%U /共享的目录valid users = /认证的用户,前面必须加哟read only = Nobrowseable = Noroot preexec = /root/mkhome.sh %U %G /执行创建目录的操作。这段配置中最帅的就是这个mkhome.sh的存在。因为这个脚本的执行者是root,所以我们脚本的权限设置700即可。再往下我们将继续探索它
28、的神奇魔力。写完这段保存一下,重启smb:service smb restart。这样,在一台xp的机器上,用域用户登陆,然后访问192.168.1.246,是不是看到了一个以你登陆的域用户名命名的一个文件夹呢?没错,就是它!你现在可以试下删写文件了。怎么有问题?有问题就自己检查一下,为什么吧J7.设置磁盘配额因为磁盘配额只能在一块单独的分区上启用,所以笔者专门添加了一块分区挂载到home目录下,这点要注意。编辑fstabrootfilesrv1 #vi /etc/fstab/dev/hdb1 /home ext3 defaults,usrquota,grpquota选择分区,将default
29、s选项改为:“defaults,usrquota,grpquota”(针对用户和组做磁盘配额)或“defaults,usrquota(针对用户做磁盘配额 )或defaults,grpquota(针对组做磁盘配额)重新挂载文件系统:rootfilesrv1 #mount o remount /home创建配额文件rootfilesrv1 #quotacheck cmug /home启动配额rootfilesrv1 #quotaon -av配额设置rootfilesrv1 # edquota -u administratorDisk quotas for user administrator (u
30、id 16777216):Filesystem blocks quota limit grace files quota limit grace/dev/sdb1 0 500000 512000 10 0 0 (其中:blocks,已用磁盘空间;soft,磁盘空间软限制,hard:磁盘空间硬限制;inodes: 已写多少个文件;soft:磁盘文件数量软限制;hard:磁盘文件数量硬限制)查看磁盘配额情况rootfilesrv1 home#quota -u administrator分析:使用磁盘限额有一点不爽的地方就是它不是默认给所有的用户设置限额。也就是说,如果你想给哪个用户启用磁盘限额,你
31、必须先建立那个用户,然后再针对那个用户进行限制。可是在域里,我们所有的用户已经建立好了?怎么一个一个的给进行磁盘限额呢?还好edquota提供了这么一个特性,就是你可以以一个用户为模板,把配置复制给新用户,这样就简单了,如果要手动给用户分配限额的话,这样就可以搞定:wbinfo u|xargs|edquota -p administrator u。这样我们就把administrator这个用户的配额情况”分发”给了所有用户!还记得我们的mkhome.sh吗?是的,就是它,里面有这第一句edquota -p administrator -u $user,这句话的意思就是以administrato
32、r为模板给用户设置磁盘限额。这样写在脚本里,不但省去了手工执行,新添加用户也不怕了J8.域用户登陆自动挂载自己的共享文件夹嘿嘿,能做到这步,已经很不容易了,如果你做到了,那么恭喜你,因为终点就在眼前了。到这一步,你已经成功完成了samba通过ad域进行验证,并给验证用户分配500M的固定空间,现在就让我们一鼓作气,将这个优雅的高难度动作画个完美的句号吧J我们知道windows有个“映射网络驱动器”的功能。今天用到的东东就是它。其实原理很简单,就是我们写个批处理,这个批处理的功能是获得登陆用户的用户名,然后去连接共享。而用户登陆的时候就自动执行这个批处理。是不是很好玩呢?这个操作在域服务器上进行
33、。在服务器上有个路径C:WINDOWSSYSVOLsysvolscripts,把你想要域用户登陆执行的脚本放在这个文件里就可以了。Share.cmd里面的内容是:echo offif exist P: net use P: /del /ynet use P: 192.168.1.246%USERNAME%这个文件的权限要设置成everyone读取。不然后域用户登陆的时候会报错的哟。这样还不算完。再配置一下。打开“active directory 用户和计算机”找到users,多选你要分配空间的用户,如图,选择属性。找到“配置文件”选中“登陆脚本”,在后面的框里输入“share.cmd”这样,被选中的用户下次再登陆的时候就被“强制”执行这样脚本。当然这个策略不知道要多长时间才能分发下去。如果你现在就想让它生效,那么:gpupdate /force!域用户登陆以后在我的电脑就会看到这块共享盘就是FileSrv那个了。双击打开,就像操作本地硬盘一样方便。可以添加修改文件。至于空间是不是限定了500M,那就自己试一下吧J(或者去linux quota查询也可以哟)Samba的故事到这里就讲完了。再下一步就是samba群集了。Move on ,Lets go!相关链接:
浙ICP备2021020529号-1 | 浙B2-20240490 
