|
|
|
|
挪动端

怎样运用Samba和Winbind将Ubuntu 16.04添加到AD域

这篇文章报告了怎样将 Ubuntu 主机参加到 Samba4 AD 域,并完成运用域帐号登录 Ubuntu 零碎。

作者:Matei Cezar泉源:通博8888官网中国|2017-05-09 14:00

年前最初一场技能盛宴 | 1月27日与京东、日记易技能大咖畅聊智能化运维开展趋向!


怎样运用Samba和Winbind将Ubuntu 16.04添加到AD域

这篇文章报告了怎样将 Ubuntu 主机参加到 Samba4 AD 域,并完成运用域帐号登录 Ubuntu 零碎。

要求:

在 Ubuntu 零碎上运用 Samba4 软件来创立运动目次架构

第一步: Ubuntu 零碎参加到 Samba4 AD 之前的根本设置装备摆设

1、在将 Ubuntu 主机参加到 AD DC 之前,你得先确保 Ubuntu 零碎中的一些效劳设置装备摆设正常。

主机名是你的呆板的一个紧张标识。因而,在参加域前,运用 hostnamectl 下令或许经过手动编辑 /etc/hostname 文件来为 Ubuntu 主机设置一个适宜的主机名。

  1. # hostnamectl set-hostname your_machine_short_name 
  2. # cat /etc/hostname 
  3. # hostnamectl 

设置零碎主机名

设置零碎主机名

2、在这一步中,翻开并编辑网卡设置装备摆设文件,为你的主机设置一个适宜的 IP 地点。留意把 DNS 地点设置为你的域控制器的地点。

编辑 /etc/network/interfaces 文件,添加 dns-nameservers 参数,并设置为 AD 效劳器的 IP 地点;添加 dns-search 参数,其值为域控制器的主机名,如下图所示。

而且,把下面设置的 DNS IP 地点和域名添加到 /etc/resolv.conf 设置装备摆设文件中,如下图所示:

为 AD 设置装备摆设网络设置

为 AD 设置装备摆设网络设置

在下面的截图中, 192.168.1.254 和 192.168.1.253 是 Samba4 AD DC 效劳器的 IP 地点, Tecmint.lan 是 AD 域名,已参加到这个域中的一切呆板都可以盘问到该域名。

3、重启网卡效劳或许重启盘算机以使网卡设置装备摆设失效。运用 ping 下令加上域名来检测 DNS 剖析能否正常。

AD DC 应该前往的是 FQDN 。假如你的网络中设置装备摆设了 DHCP 效劳器来为局域网中的盘算机主动分派 IP 地点,请确保你曾经把 AD DC 效劳器的 IP 地点添加到 DHCP 效劳器的 DNS 设置装备摆设中。

  1. # systemctl restart networking.service 
  2. # ping -c2 your_domain_name 

4、最初一步是设置装备摆设效劳器工夫同步。装置 ntpdate 包,运用上面的下令来盘问并同步 AD DC 效劳器的工夫。

  1. $ sudo apt-get install ntpdate 
  2. $ sudo ntpdate -q your_domain_name 
  3. $ sudo ntpdate your_domain_name  

AD 效劳器工夫同步

AD 效劳器工夫同步

5、下一步,在 Ubuntu 呆板上实行上面的下令来装置参加域情况所必须软件。

  1. $ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind 

在 Ubuntu 呆板上装置 Samba4 软件

在 Ubuntu 呆板上装置 Samba4 软件

在 Kerberos 软件包装置的进程中,你会被讯问输出默许的域名。输出大写的域名,并按 Enter 键持续装置。

添加 AD 域名

添加 AD 域名

6、当一切的软件包装置完成之后,运用域办理员帐号来测试 Kerberos 认证,然后实行上面的下令来列出单子信息。

  1. # kinit ad_admin_user 
  2. # klist 

运用 AD 来反省 Kerberos 认证能否正常

运用 AD 来反省 Kerberos 认证能否正常

第二步:将 Ubuntu 主机添加到 Samba4 AD DC

7、将 Ubuntu 主机添加到 Samba4 运动目次域情况中的第一步是编辑 Samba 设置装备摆设文件。

备份 Samba 的默许设置装备摆设文件,这个设置装备摆设文件是装置 Samba 软件的进程中主动天生的,运用上面的下令来重新初始化设置装备摆设文件。

  1. # mv /etc/samba/smb.conf /etc/samba/smb.conf.initial 
  2. # nano /etc/samba/smb.conf  

在新的 Samba 设置装备摆设文件中添加以下内容:

  1. [global
  2. workgroup = TECMINT 
  3. realm = TECMINT.LAN 
  4. netbios name = ubuntu 
  5. security = ADS 
  6. dns forwarder = 192.168.1.1 
  7. idmap config * : backend = tdb 
  8. idmap config *:range = 50000-1000000 
  9. template homedir = /home/%D/%U 
  10. template shell = /bin/bash 
  11. winbind use default domain = true 
  12. winbind offline logon = false 
  13. winbind nss info = rfc2307 
  14. winbind enum users = yes 
  15. winbind enum groups = yes 
  16. vfs objects = acl_xattr 
  17. map acl inherit = Yes 
  18. store dos attributes = Yes 

Samba 效劳的 AD 情况设置装备摆设

Samba 效劳的 AD 情况设置装备摆设

依据你当地的实践状况来交换 workgroup , realm , netbios name 和 dns forwarder 的参数值。

由于 winbind use default domain 这个参数会让 winbind 效劳把任何登录零碎的帐号都看成 AD 帐号。因而,假如存在当地帐号名跟域帐号同名的状况下,请不要设置该参数。

8、如今,你应该重启 Samba 背景效劳,中止并卸载一些不用要的效劳,然后启用 samba 效劳的 system-wide 功用,运用上面的下令来完成。

  1. $ sudo systemctl restart smbd nmbd winbind 
  2. $ sudo systemctl stop samba-ad-dc 
  3. $ sudo systemctl enable smbd nmbd winbind 

9、经过上面的下令,运用域办理员帐号来把 Ubuntu 主机参加到 Samba4 AD DC 中。

  1. $ sudo net ads join -U ad_admin_user 

把 Ubuntu 主机参加到 Samba4 AD DC

把 Ubuntu 主机参加到 Samba4 AD DC

10、在 装置了 RSAT 东西的 通博8888 呆板上 翻开 AD UC ,睁开到包括的盘算机。你可以看到已参加域的 Ubuntu 盘算机。

确认 Ubuntu 盘算机已参加到 通博8888 AD DC

确认 Ubuntu 盘算机已参加到 通博8888 AD DC

第三步:设置装备摆设 AD 帐号认证

11、为了在当地完成 AD 帐号认证,你需求修正当地呆板上的一些效劳和设置装备摆设文件。

起首,翻开并编辑名字效劳切换 (NSS) 设置装备摆设文件。

  1. $ sudo nano /etc/nsswitch.conf 

然后在 passwd 和 group 行添加 winbind 值,如下图所示:

  1. passwd:         compat winbind 
  2. group:          compat winbind 

设置装备摆设 AD 帐号认证

设置装备摆设 AD 帐号认证

12、为了测试 Ubuntu 呆板能否已参加到域中,你可以运用 wbinfo 下令来列出域帐号和组。

  1. $ wbinfo -u 
  2. $ wbinfo -g 

列出域帐号和组

列出域帐号和组

13、同时,运用 getent 下令加上管道符及 grep 参数来过滤指定域用户或组,以测试 Winbind nsswitch 模块能否运转正常。

  1. $ sudo getent passwd| grep your_domain_user 
  2. $ sudo getent group|grep 'domain admins' 

反省 AD 域用户和组

反省 AD 域用户和组

14、为了让域帐号在 Ubuntu 呆板上完成认证登录,你需求运用 root 帐号运转 pam-auth-update 下令,然后勾选 winbind 效劳所需的选项,以让每个域帐号初次登录时主动创立 home 目次。

检查一切的选项,按 ‘[空格]’键选中,单击 OK 以使用变动。

  1. $ sudo pam-auth-update 

运用域帐号登录 Ubuntu 主机

运用域帐号登录 Ubuntu 主机

15、在 Debian 零碎中,假如想让零碎主动为登录的域帐号创立家目次,你需求手动编辑 /etc/pam.d/common-account 设置装备摆设文件,并添加上面的内容。

  1. session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022 

运用域帐号登录 Debian 零碎

运用域帐号登录 Debian 零碎

16、为了让 AD 用户可以在 通博8888官网 的下令行下修正暗码,你需求翻开 /etc/pam.d/common-password 设置装备摆设文件,在 password 那一行删除 use_authtok 参数,如下图所示:

password [success=1 default=ignore] pam_winbind.so try_first_pass

容许域帐号在 通博8888官网 下令行下修正暗码

容许域帐号在 通博8888官网 下令行下修正暗码

17、要运用 Samba4 AD 帐号来登录 Ubuntu 主机,在 su - 前面加上域用户名即可。你还可以经过运转 id 下令来检查 AD 帐号的别的信息。

  1. $ su - your_ad_user 

检查 AD 用户信息

检查 AD 用户信息

运用 pwd 下令来检查域帐号确当前目次,假如你想修正域帐号的暗码,你可以运用 passwd 下令来完成。

18、假如想让域帐号在 ubuntu 呆板上拥有 root 权限,你可以运用上面的下令来把 AD 帐号添加到 sudo 零碎组中:

  1. $ sudo usermod -aG sudo your_domain_user 

登录域帐号登录到 Ubuntu 主机,然后运转 apt-get-update 下令来更新零碎,以验证域账号能否拥有 root 权限。

给域帐号添加 root 权限

给域帐号添加 root 权限

19、要为整个域用户组添加 root 权限,运用 vi 下令翻开并编辑 /etc/sudoers 设置装备摆设文件,如下图所示,添加如下内容:

  1. %YOUR_DOMAINyour_domain  group                ALL=(ALL:ALLALL 

为域帐号组添加 root 权限

为域帐号组添加 root 权限

运用反斜杠来本义域用户组的称号中包括的空格,或许用来本义第一个反斜杠。在下面的例子中, TECMINT 域的域用户组的名字是 “domain admins" 。

前边的 % 标明我们指定是的用户组而不是用户名。

20、假如你运用的是图形界面的 Ubuntu 零碎,而且你想运用域帐号来登录零碎,你需求修正 LightDM 表现办理器,编辑 /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 设置装备摆设文件,添加上面的内容,然后重启零碎才干失效。

  1. greeter-show-manual-login=true 
  2. greeter-hide-users=true 

如今你就可以域帐号来登录 Ubuntu 桌面零碎了。运用域用户名或许域用户名@域名.tld 或许域名域用户名的方法来登录零碎。

【编辑引荐】

  1. 怎样将另一台Ubuntu DC效劳器参加到Samba4 AD DC完成双域控主机模
  2. Ubuntu 16.04 下怎样在Vim中停止文本选择操纵和运用标记
  3. 运用Rsync下令同步两个Samba4 AD DC之间的SysVol目次
  4. 怎样在Ubuntu和通博8888官网 Mint上启用桌面共享
  5. 怎样在Ubuntu16.04中用Apache摆设Jenkins主动化效劳器
【责任编辑:枯木 TEL:(010)68476606】

点赞 0
分享:
各人都在看
猜你喜好
24H热文
一周话题
本月最赞

读 书 +更多

Wicked Cool Java中文版

本书次要引见由Sun微零碎公司创立的Java编程言语。 除了中心内容外,Java另有很多收费的财产,即开放源代码的库。本书便是为了引见这些库...

订阅51CTO邮刊

点击这里检查样刊

订阅51CTO邮刊