唐弟蒋姐|唐弟蒋姐app|www.tdjj.net|tdjj app|app应用下载    应用:10787 当日:0 新闻:59 当日:0

AD做认证,linux做文件服务器|linux加域|linux加域及文件共享

来源: 唐弟蒋姐|唐弟蒋姐app|www.tdjj.net|tdjj app|app应用下载    时间:2016-04-25 15:40:51

一直想做个域认证访问linux的文件服务器的测试,今天有空正好测试一下,查一下相关的资料,以下是我测试时的一些配置文件和自己的笔记希望对和我一样需要这方面的朋友一点启示,也是给自己一个备忘.
红色的为比较重要的部分

首先要安装一下需要的服务:krb5     winbind   和  samba 
安装 
yum install krb5-workstation
yum install samba-winbind
yum install samba-winbind-krb5
主要的配置文件有2个,分别是krb5.conf 和smb.conf
krb5.conf    kerbos的配置文件

 [logging]

 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 default_realm = 你的ad域名
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 
[realms]
 #EXAMPLE.COM = {
 # kdc = kerberos.example.com
 # admin_server = kerberos.example.com
# }
 
你的ad域名 = {
  kdc = 你的ad域名:88
  admin_server =你的ad域名::749
  default_domain = 你的ad域名
 }
 
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
   你的ad域名 =你的ad域名大写
 . 你的ad域名 =你的ad域名大写   .//注意前面有个点

smb.conf      samba配置文件 已过滤 “#”和“;”
 [global]
 
   workgroup = 你的ad域名中间的部分(如果是xxxx.com只要写xxxx)
   password server = 192.168.0.252     域控制器ip
   realm = 你的ad域名
   security = ads
   idmap config * : range = 16777216-33554431   //这个好像是安装samba自动生成的
   template shell = /bin/bash
   winbind use default domain = ture                 //这个一定要是ture不然认证不了
   winbind offline logon = false
   passdb backend = tdbsam 
 
 
        server string = Samba Server Version %v  //linux服务器名称及samba的版本不是很重要,建议把%v去掉
 
        log file = /var/log/samba/log.%m   //日志文件
        max log size = 50
 
        load printers = yes
        cups options = raw
 
        [public]                                                    //共享名称
        comment = Public Stuff                            //描述
        path = /home/samba                                //共享文件路径
        public = no                                                //是否公开
        valid users=@你的ad域名技术部,   你的ad域名\%S           //设置权限  前面加@表示一个组   用,号隔开
        writable = yes                                                                    //写的权限

开启服务
       service winbind start 

       
service smb start 
加入域   net ads join -U administrator  回车 输入域管理员密码(密码不会显示)


如果一切正常就可以通过域进行认证了。如果不行查看一下防火墙是否关闭。selinux改成Permissive试试,我测试是Enforce也是可以用的
如果不行请执行setsebool -P samba_domain_controller on及setsebool -P samba_enable_home_dirs on
chcon -t samba_share_t /path   path是你共享文件的路径

备忘:
测试命令 wbinfo
wbinfo  -t   Rpc是否正常
wbinfo  -u  显示域控制器上的用户