AD SERVER 環境
OS: windows 2003
IP: 192.168.0.10
網域名稱: Myads
網域全名:adserver.Myads.local
File Server for Samba
OS: linux CentOS 6.3
主機名稱: MyFS
1. 安裝Samba及配合模組
$ yum install -y samba samba-common samba-winbind krb5-server krb5-workstation ntp
samba-winbind: 幫Samba認證AD SERVER所傳來的登入資訊。
kerberos: AD Server所使用的認識機製。
2. 維護Samba的設定檔
$ vi /etc/samba/smb.conf
[global]
workgroup = Myads #網域名稱
realm = adserver.Myads.local #或是直接輸入ip位址:192.168.0.10
server string = file server #主機說明
netbios name = MyFS #主機名稱
security = ads #設定安全等級,由AD Server執行帳號認證
password server = adserver.Myads.local #或是直接輸入ip位址:192.168.0.10,指定比對密碼的地點。
encrypt passwords = yes #密碼傳輸是否先編碼過
idmap uid = 16777000-33550000 #指定AD 網域帳號的uid使用範圍
idmap gid = 16777000-33550000 #指定AD 網域帳號的gid使用範圍
winbind enum users = yes #是否允許winbind在系統上建立網域使用者
winbind enum groups = yes #是否允許winbind在系統上建立網域群組
winbind separator = + #網域與使用者帳號之間的分隔符號 + 代表空白
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%D/%U #使用者家目錄的路徑%D代表網域名,%U代表使用者
3. 維護HOST名單清冊
$ vi /etc/hosts
192.168.0.10 adserver.Myads.local Myads.local Myads
4. 維護Samba的kerberos與AD的溝通機製
$ vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = 192.168.0.10 #或是adserver.Myads.local
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
Myads.local = {
kdc = adserver.Myads.local
admin_server = adserver.Myads.local
}
[domain_realm]
.example.com = adserver.Myads.local
example.com = adserver.Myads.local
5. 維護kerberos設定檔
$vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
Myads.local = {
...
.......
...........
}
6. 測試連線
$kinit username@MYADS.LOCAL
7. 重啟Samba
$service smb restart
8. 加入網域
$net rpc join -U username
9. 啟動認證AD帳號機制
$vi /etc/nsswitch.conf
passwd: files winbind
group: files winbind
10. service winbind restart
11. 設定主機登入使用AD認證
$vi /etc/pam.d/system-auth
#--------- 新增以下資訊---------------
auth sufficient /lib64/security/pam_winbind.so
account sufficient /lib64/security/pam_winbind.so
password sufficient /lib64/security/pam_winbind.so
session sufficient /lib64/security/pam_winbind.so
OS: windows 2003
IP: 192.168.0.10
網域名稱: Myads
網域全名:adserver.Myads.local
File Server for Samba
OS: linux CentOS 6.3
主機名稱: MyFS
1. 安裝Samba及配合模組
$ yum install -y samba samba-common samba-winbind krb5-server krb5-workstation ntp
samba-winbind: 幫Samba認證AD SERVER所傳來的登入資訊。
kerberos: AD Server所使用的認識機製。
2. 維護Samba的設定檔
$ vi /etc/samba/smb.conf
[global]
workgroup = Myads #網域名稱
realm = adserver.Myads.local #或是直接輸入ip位址:192.168.0.10
server string = file server #主機說明
netbios name = MyFS #主機名稱
security = ads #設定安全等級,由AD Server執行帳號認證
password server = adserver.Myads.local #或是直接輸入ip位址:192.168.0.10,指定比對密碼的地點。
encrypt passwords = yes #密碼傳輸是否先編碼過
idmap uid = 16777000-33550000 #指定AD 網域帳號的uid使用範圍
idmap gid = 16777000-33550000 #指定AD 網域帳號的gid使用範圍
winbind enum users = yes #是否允許winbind在系統上建立網域使用者
winbind enum groups = yes #是否允許winbind在系統上建立網域群組
winbind separator = + #網域與使用者帳號之間的分隔符號 + 代表空白
winbind use default domain = yes
template shell = /bin/bash
template homedir = /home/%D/%U #使用者家目錄的路徑%D代表網域名,%U代表使用者
3. 維護HOST名單清冊
$ vi /etc/hosts
192.168.0.10 adserver.Myads.local Myads.local Myads
4. 維護Samba的kerberos與AD的溝通機製
$ vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = 192.168.0.10 #或是adserver.Myads.local
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
Myads.local = {
kdc = adserver.Myads.local
admin_server = adserver.Myads.local
}
[domain_realm]
.example.com = adserver.Myads.local
example.com = adserver.Myads.local
5. 維護kerberos設定檔
$vi /var/kerberos/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
[realms]
Myads.local = {
...
.......
...........
}
6. 測試連線
$kinit username@MYADS.LOCAL
7. 重啟Samba
$service smb restart
8. 加入網域
$net rpc join -U username
9. 啟動認證AD帳號機制
$vi /etc/nsswitch.conf
passwd: files winbind
group: files winbind
10. service winbind restart
11. 設定主機登入使用AD認證
$vi /etc/pam.d/system-auth
#--------- 新增以下資訊---------------
auth sufficient /lib64/security/pam_winbind.so
account sufficient /lib64/security/pam_winbind.so
password sufficient /lib64/security/pam_winbind.so
session sufficient /lib64/security/pam_winbind.so
留言
張貼留言