设为首页 收藏本站
查看: 900|回复: 0

[经验分享] Debian samba支持域用户登录

[复制链接]

尚未签到

发表于 2018-5-15 08:58:49 | 显示全部楼层 |阅读模式
  1.samba服务器软件需求  

  krb5-user krb5-doc krb5-config  (krb5-workstation\pam_krb5\krb5-libs\krb5-devel为Centos需要的软件)
  samba-3.0.5-2  

  2.配置kerberos(关键)  
  下面配置参数让 Kerberos 进程知道处理活动目录服务器,对 /etc/krb5.conf 做适当的修改,修改时需要注意的是 Kerberos 是大小写敏感的。  
  这是我的krb5.conf配置文件:  
  [logging]  
  default = FILE:/var/log/krb5libs.log  
  kdc = FILE:/var/log/krb5kdc.log  
  admin_server = FILE:/var/log/kadmind.log  
  

  [libdefaults]  
  default_realm = DOMAIN.COM  //改这里
  dns_lookup_realm = false  
  dns_lookup_kdc = false  
  forwardable = yes
  [realms]  
  DOMAIN.COM = {  
  kdc = 192.168.2.248   //为AD服务器的ip地址
  # admin_server = kerberos.example.com:749  
  default_domain = MYDOMAIN.COM   //需要加入的域名
  }  
  

  [domain_realm]  //改这里
  .mydomain.com = MYDOMAIN.COM  
  mydomain.com = MYDOMAIN.COM   
  
3.连接2003服务器  
  
kinit 用户名@DOMAIN.COM  

  Kerberos 的 kinit 命令将测试服务器间的通信,后面的域名MYDOMAIN.COM 是你的活动目录的域名,必须大写,否则会收到错误信息:  
  kinit(v5): Cannot find KDC for requested realm while getting initial credentials.  
  

  如果通信正常,你会提示输入口令,口令正确的话,就返回 bash 提示符,如果错误则报告:  
  kinit(v5): Preauthentication failed while getting initial credentials.  

  配置 /etc/nsswitch.conf

  修改 /etc/nsswitch.conf ,让Winbind做为passwd和group验证时的标准 (只修改

  下面的部分,其它的不用改)

  passwd:     files winbind

  shadow:     files

  group:      files winbind
  

  Samba 的配置文件 /etc/samba/smb.conf

  [global]

   workgroup = DOMAIN

  client ldap sasl wrapping = sign  //绞尽了脑汁 必须添加  然后才可以用 net ads join -U username 加入域

    //报错  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Strong(er) authentication required

   idmap gid = 15000-20000

   idmap uid = 15000-20000

   winbind use default domain = yes

   template shell = /bin/bash

   template homedir = /homes/%D/%U

   security = ads
   realm = DOMAIN.COM
   password server = 10.136.74.64 //域服务IP地址

   winbind separator = /

   winbind enum groups = yes

   winbind enum users = yes

  [homes]

  comment = %U 's Home Directories

  browseable = no
  
writeable = yes
  
valid users = %D/%U

  path = /home/%D/%U //必须和上面的template创建的目录相同

  preexec=/home/domain/buildhome %D %U %G
  

  Samba 加入 Win 2003 域

  net rpc join -W DOMAIN -U user 或者 net ads join -U user
  
会出提示pasword:

  输入Win2003域的用户密码

  成功会出现 Joined domain XXX


  重新启动 samab 和 winbind
  

  /etc/init.d/samba restart

  /etc/init.d/winbind restart

  确认加入win2003域成功,可以
  

  1.到Win2003的域控计算机上,依次点击 “开始”-”所有程序“-“系统管理工
  


  具” - “Active Directory 使用者及计算机”

  在其中依次点击 “YUVAD.COM"-- "computer",找到安装 debian的计算机名称 debian

  2.在Debian中执行 wbinfo -t   出现

  checking the trust secret via RPC calls succeeded

  说明主机信任已成功建立

  执行 wbinfo -u 可列出debian中的用户和win2003 域中的用户信息

  执行 wbinfo -g 可列出debian中的组和win2003 域中的组信息

  自动建立用户主目录

  当域用户登入 samba 时,可以看到samba上已经有了一个与域帐号同名的共享资料

  夹,但当点击进入时会提示无法使用,这是因为按上的配置,Samba不会自动为登入

  的域用户建立主目录。所以可以使用脚本来自动建立主目录,并在[homes]中添加一
  

  

  preexec=/home/domain/buildhome %D %U %G
  

  cat  /home/domain/buildhome
  

  umask 0077
  

  if [ ! -d /home/$1/$2 ]; then
  
mkdir /home/$1/$2

  chown $2 /home/$1/$2

  chgrp $3 /home/$1/$2

  fi

  或者

  vi /etc/pam.d/sshd

  auth sufficient /lib/security/pam_winbind.so //ssd登录时用winbind认证

  account sufficient /lib/security/pam_winbind.so

  session required /lib/security/pam_mkhomedir.so //自动创建登录用户的目录
  最后用net ads group/user add/delete来添加查看删除AD用户 //删除域服务器上的组和用户
  

  至此完成了所有的配置。

运维网声明 1、欢迎大家加入本站运维交流群:群②:261659950 群⑤:202807635 群⑦870801961 群⑧679858003
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、所有作品的著作权均归原作者享有,请您和我们一样尊重他人的著作权等合法权益。如果您对作品感到满意,请购买正版
4、禁止制作、复制、发布和传播具有反动、淫秽、色情、暴力、凶杀等内容的信息,一经发现立即删除。若您因此触犯法律,一切后果自负,我们对此不承担任何责任
5、所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其内容的准确性、可靠性、正当性、安全性、合法性等负责,亦不承担任何法律责任
6、所有作品仅供您个人学习、研究或欣赏,不得用于商业或者其他用途,否则,一切后果均由您自己承担,我们对此不承担任何法律责任
7、如涉及侵犯版权等问题,请您及时通知我们,我们将立即采取措施予以解决
8、联系人Email:admin@iyunv.com 网址:www.yunweiku.com

所有资源均系网友上传或者通过网络收集,我们仅提供一个展示、介绍、观摩学习的平台,我们不对其承担任何法律责任,如涉及侵犯版权等问题,请您及时通知我们,我们将立即处理,联系人Email:kefu@iyunv.com,QQ:1061981298 本贴地址:https://www.yunweiku.com/thread-460271-1-1.html 上篇帖子: debian是什么? 下篇帖子: Debian 安装完kbr5后不能登录
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

扫码加入运维网微信交流群X

扫码加入运维网微信交流群

扫描二维码加入运维网微信交流群,最新一手资源尽在官方微信交流群!快快加入我们吧...

扫描微信二维码查看详情

客服E-mail:kefu@iyunv.com 客服QQ:1061981298


QQ群⑦:运维网交流群⑦ QQ群⑧:运维网交流群⑧ k8s群:运维网kubernetes交流群


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


本站大部分资源是网友从网上搜集分享而来,其版权均归原作者及其网站所有,我们尊重他人的合法权益,如有内容侵犯您的合法权益,请及时与我们联系进行核实删除!



合作伙伴: 青云cloud

快速回复 返回顶部 返回列表