一   摘要

在企業中為了對所有服務器的帳號和密碼進行統一的管理，可以采用windows活動目錄的解決方案；對於windows服務器，直接將服務器加入域即可；對於Linux服務器，如果要將Linux服務器加入域，還需要其他的軟件的協助，本文介紹通過Samba和Winbind的協助將Linux加入活動目錄，實現帳號和密碼統一管理。

二   正文

1.       安裝配置Samba和Winbind組件

1.1 安裝samba和winbind組件

[root@localhost cdrom]# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients

 
1.2 啟動samba服務，配置samba服務自動啟動

[root@linux01 ~]# service smb stop
關閉 SMB 服務：                                            [確定]
[root@linux01 ~]# service smb start
啟動 SMB 服務：                                            [確定]
[root@linux01 ~]# chkconfig smb on
[root@linux01 ~]# netstat -tunlnp | grep smb
tcp        0      0 0.0.0.0:445                 0.0.0.0:*                   LISTEN      3556/smbd          
tcp        0      0 0.0.0.0:139                 0.0.0.0:*                   LISTEN      3556/smbd          
tcp        0      0 :::445                      :::*                        LISTEN      3556/smbd          
tcp        0      0 :::139                      :::*                        LISTEN      3556/smbd

1. 1.3啟動winbind，並設置開機啟動

 

[root@linux01 ~]# service winbind start
啟動 Winbind 服務：                                        [確定]
[root@linux01 ~]# chkconfig winbind on

 
2.       網絡配置

2.1 修改DNS服務器名稱

[root@linux01 ~]# cat /etc/resolv.conf
search vinda.cn
nameserver 192.168.10.1

 
2.2 修改Linux服務器的FQDN名稱

[root@linux01 ~]# cat /etc/sysconfig/network
NETWORKING=yes

•  

 
2.3 在DNS服務器上手動添加Linux服務器的A記錄。

3.       Kerberos客戶端的安裝

[root@linux01 ~]# yum -y install krb5-workstation krb5-libs pam_krb5
[root@linux01 ~]# rpm -qa | grep krb5
pam_krb5-2.3.11-9.el6.x86_64
sssd-krb5-common-1.12.4-47.el6.x86_64
krb5-libs-1.10.3-42.el6.x86_64
sssd-krb5-1.12.4-47.el6.x86_64

•  

 
4.       oddjob-mkhomedir組件安裝

root@linux01 ~]# yum install -y oddjob-mkhomedir       

 
5.       加域

5.1 身份驗證配置   運行setup;

root@linux01 ~]# setup 

 
  選擇驗證配置;

  選擇使用Windbind、使用 Kerberos、使用 Windbind 驗證;

 
  輸入域名，在KDC和管理服務器輸入域控制器FQDN,勾選DNS解析；

  安全模式選擇ads，域名輸入bios名稱，注意大寫，shell選擇/bin/bash;

  退出setup配置端，先不加域；

5.2 Home目錄配置   運行system-config-authentication；

root@linux01 ~]# system-config-authentication

 
  選擇高級選項裡的在首次登錄時創建主目錄，應用；

5.3 加域

[root@linux01 ~]# net ads join -U administrator
Enter administrator's password:
Using short domain name -- VINDA
Joined 'LINUX01' to dns domain 'vinda.cn'

5. 
   5.4 驗證一：在Linux服務器查看AD用戶和組

[root@linux01 ~]# wbinfo –u
VINDA\administrator
VINDA\guest
VINDA\krbtgt
VINDA\sccmadmin
VINDA\sccm_sql_services
VINDA\test01
VINDA\test02
 [root@linux01 ~]# wbinfo -g
VINDA\winrmremotewmiusers__
VINDA\domain computers
VINDA\domain controllers
VINDA\schema admins
VINDA\enterprise admins
VINDA\cert publishers
…

 

5. 5.5 驗證二：普通域帳號登錄linux服務器，需使用UPN格式，如[email protected]