Linux 加入域

关键词: Linux, 运维

在 Ubuntu 桌面平台上,安裝 samba 和 winbind 套件

sudo apt install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind
  1. 針對預設的 Kerberos 第 5 版領域,請輸入您 AD 網域的 DNS 名稱 (全部使用大寫字母)。

    例如,如果您的 AD 網域名稱為 mydomain.com,請輸入 MYDOMAIN.COM

  2. 針對您領域的 Kerberos 伺服器,請輸入您 AD 伺服器的主機名稱 (在這整個程序的各個範例中均顯示為 )。

    ads_hostname /example:ad2012

  3. 針對您 Kerberos 領域的管理伺服器,再次輸入您 AD 伺服器的主機名稱。/example:ad2012

/images/Linux-2018-04-03//Untitled.png

更新 PAM 組態。 開啟 PAM 組態頁面。 sudo pam-auth-update 選取在登入時建立主目錄,然後選取確定。

/images/Linux-2018-04-03//Untitled%201.png

4.編輯 /etc/nsswitch.conf 組態檔,如下列範例所示。

/etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat
gshadow: files

5.若要確保自動產生的 resolv.conf 檔案會以您的 AD 網域作為搜尋網域,請編輯系統連線的 NetworkManager 設定

网路配置

修改/etc/NetworkManager/system-connections目录下配置

/images/Linux-2018-04-03//Untitled%202.png

sudo vi /etc/resolv.conf

/images/Linux-2018-04-03//Untitled%203.png

編輯 /etc/hosts 組態檔,如下列範例所示。

sudo vi /etc/hosts

/images/Linux-2018-04-03//Untitled%204.png

7.编辑/etc/samba/smb.conf 組態檔

[global]
security = ads
realm = makapaka.garden
workgroup = MAKAPAKA
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
kerberos method = secrets and keytab
winbind refresh tickets = true

8.重新啟動 smbd 服務。

sudo systemctl restart smbd.service

9.編輯 /etc/krb5.conf 組態檔,使其具有類似下列範例的內容。

[libdefaults]
      default_realm = makapaka.garden
      dns_lookup_realm = true
      dns_lookup_kdc = true

[realms]
      MYDOMAIN.COM = {
            kdc = ad2012
            admin_server = ad2012 
      }

[domain_realm]
      .makapaka.garden = makapaka.garden
			makapaka.garden = makapaka.garden

10.加入域

  1. 將您的 Ubuntu 桌面平台加入 AD 網域。

    1. 起始 Kerberos 票證。

      sudo kinit admin-user出現提示時,輸入您的管理員密碼。

    2. 確認票證已成功建立。

      sudo klist此命令會傳回票證的相關資訊,包括其有效起始時間和到期時間。

    3. 建立 Kerberos Keytab 檔案。

      sudo net ads keytab create -U admin-user

    4. 加入 AD 網域。

      sudo net ads join -U admin-user

  2. 重新啟動並確認 Winbind 服務。

    1. 重新啟動 Winbind 服務。

      sudo systemctl restart winbind.service

    2. 若要確認 Winbind 服務,請執行下列命令,並確認命令傳回正確的輸出。

      • wbinfo -u
      • wbinfo -g
      • getend passwd
      • getend group

      重启后即可使用域用户登录

      /images/Linux-2018-04-03//Untitled%205.png

      /images/Linux-2018-04-03//Untitled%206.png

版权声明: 本文除特别声明外,请勿转载。转载请附上原文链接及出处。

comments powered by Disqus