Linux系统下怎么加入Windows AD域

简介

AD的全称是Active Directory。AD域是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。

两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。

1、安装所需软件:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;yum&nbsp;-y&nbsp;install&nbsp;samba&nbsp;samba-client&nbsp;samba-common&nbsp;samba-winbind&nbsp;samba-winbind-clients&nbsp;krb5-workstation&nbsp;ntpdate</span>

2、设置服务自启动并启动服务:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;chkconfig&nbsp;smb&nbsp;on#&nbsp;chkconfig&nbsp;winbind&nbsp;on#&nbsp;service&nbsp;smb&nbsp;start#&nbsp;service&nbsp;winbind&nbsp;start</span>

3、修改 /etc/hosts 文件,添加主机对应记录:

127.0.0.1&nbsp;localhost&nbsp;localhost.localdomain&nbsp;localhost4&nbsp;localhost4.localdomain4::1&nbsp;localhost&nbsp;localhost.localdomain&nbsp;localhost6&nbsp;localhost6.localdomain6192.168.2.150&nbsp;lemon20.contoso.com&nbsp;lemon20

4、设置 DNS 地址并与 AD 服务器同步时间:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;echo&nbsp;”nameserver&nbsp;192.168.2.122″&nbsp;&gt;&gt;&nbsp;/etc/resolv.conf#&nbsp;ntpdate&nbsp;ad.contoso.com</span>

5、设置 Kerberos 票据(可选):

销毁已经存在的所有票据:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;kdestroy</span>

查看当前是否还存在票据:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;klist&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;klist:&nbsp;No&nbsp;credentials&nbsp;cache&nbsp;found&nbsp;(ticket&nbsp;cache&nbsp;FILE:/tmp/krb5cc_0)</span>

生成新的票据,注意域名大写。

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;kinit&nbsp;administrator@CONTOSO.COM#&nbsp;klistTicket&nbsp;cache:&nbsp;FILE:/tmp/krb5cc_0Default&nbsp;principal:&nbsp;administrator@CONTOSO.COMValid&nbsp;starting&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Expires&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Service&nbsp;principal08/02/16&nbsp;22:35:26&nbsp;&nbsp;08/03/16&nbsp;08:35:29&nbsp;&nbsp;krbtgt/CONTOSO.COM@CONTOSO.COMrenew&nbsp;until&nbsp;08/09/16&nbsp;22:35:26</span>

6、以命令方式设置 samba 与 Kerberos,并加入 AD 域:

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#authconfig&nbsp;–enablewinbind&nbsp;&nbsp;–enablewins&nbsp;–enablewinbindauth&nbsp;–smbsecurity&nbsp;ads&nbsp;–smbworkgroup=CONTOSO&nbsp;–smbrealm&nbsp;CONTOSO.COM&nbsp;–smbservers=ad.contoso.com&nbsp;–enablekrb5&nbsp;–krb5realm=CONTOSO.COM&nbsp;–krb5kdc=ad.contoso.com&nbsp;–krb5adminserver=ad.contoso.com&nbsp;–enablekrb5kdcdns&nbsp;–enablekrb5realmdns&nbsp;–enablewinbindoffline&nbsp;–winbindtemplateshell=/bin/bash&nbsp;–winbindjoin=administrator&nbsp;–update&nbsp;–enablelocauthorize&nbsp;–enablemkhomedir&nbsp;–enablewinbindusedefaultdomain</span>

注意命令中的大小写,此步骤也可以使用 authconfig-tui 完成。

7、增加 sudo 权限(可选):

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;visudo</span>

加入下列设置:

%MYDOMAIN\\domain\&nbsp;admins&nbsp;ALL=(ALL)&nbsp;&nbsp;NOPASSWD:&nbsp;ALL

8、确认是否正确加入 AD 域:

查看 AD 的相关信息

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;net&nbsp;ads&nbsp;info</span>

查看 MYDOMAIN\USERID 的使用者帐户

<span style=”color: #57a64a;font-style: italic;line-height: 26px”>#&nbsp;wbinfo&nbsp;-u</span>

补充:

如果启用 selinux 的话,需要安装 oddjobmkhomedir 并启动其服务,这样才能确保系统对创建的家目录设置合适的 SELinux 安全上下文。

以上本篇文章的全部内容了,感兴趣的小伙伴可以看看,更多精彩内容关注腾创网www.tengchuangw.com

© 版权声明
THE END
喜欢就支持一下吧
点赞6 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片

    暂无评论内容