本文将实现Windows+Linux的异构环境

Windows的AD在企业中的广泛应用,和Linux的稳定性,我们各取所长,构建一个既方便又安全、稳定的环境。

配置方法一:

Linux在启动级别3, 所有的操作都是在命令行下。

Windows正常环境,升级为AD,同时集成了DNS,提升林功能级别为2003纯模式,林级别为20003 纯模式。

1.在Linux系统中安装相应的软件包

  samba-3.0.23c-2

     samba-common-3.0.23c-2

     samba-client-3.0.23c-2     //samba的相关包

     krb5-libs-1.5-17

     krb5-workstation-1.5-17

     krb5-devel-1.5-17

     pam_krb5-2.2.11-1

2.禁用selinux

vi /etc/selinux/config

   修改  SELINUX=enforcing (强制)

   改成  SELINUX=disable   (禁用)

   修改iptables

   清空iptables规则命令如下:

   iptables -F

3. 配置dns

   vi /etc/resolve.conf

nameserver  192.168.1.2   //windows DNS服务器的ip地址

4. 修改/etc/krb5.conf文件,该文件是kerberos的配置文件。(Windows的登录相关)

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = A.COM         //改成你的域名
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
A.COM = {                     //改成你的域名
  kdc = 192.168.1.2:88            //改成你DC的FQDN或者是IP,两者没什么区别
  admin_server = 192.168.1.2:749 //这里建议用ip
  default_domain = a.com       //改成你的域名,注意和上面的不同.(大小写)
}

[domain_realm]
.example.com = A.COM
example.com = A.COM            //接着改

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

测试:

在这里要注意的小问题就是Linux本地的时间要和DC的时间差问题,我们都知道,在DC上的策略中,时间差允许的范围是5分钟,所以,在运行上述的命令前,最好先同步下Linux和DC的时间:

ntpdate -b 192.168.1.2  //同步为AD的时间

使用命令:kinit [email protected]  (注意大写的部分)

遇到的一些问题:

1)

[root@Gh0st CentOS]# kinit [email protected]

kinit(v5): Cannot find KDC for requested realm while getting initial credentials

原因:客户端主DNS未指向域控制器

解决:

编辑文件/etc/resolv.conf,将nameserver的值修改成域控制器的IP地址。

2)

[root@Gh0st CentOS]# kinit [email protected]

Password for [email protected]:

kinit(v5): Clock skew too great while getting initial credentials

原因:

客户端与认证服务器的时间差距太大,将客户端与认证服务器的时间同步即可

解决:

安装ntp软件,执行ntpdate  –b 192.168.6.37(域控制器的IP),时间被同步

[root@Gh0st CentOS]# ntpdate  -b 192.168.6.37

17 Sep 12:32:05 ntpdate[10302]: step time server 192.168.6.37 offset 2537.194742 sec

3)

[root@Gh0st CentOS]# kinit [email protected]

Password for [email protected]:

kinit(v5): KDC reply did not match expectations while getting initial credentials

解决:使用大写的域名

[root@Gh0st CentOS]# kinit [email protected]

Password for [email protected]:

[root@Gh0st CentOS]#

4)net rpc join -W @A.COM -S 192.168.1.50 -U administrator
    出现 错误:NT_STATUS_INVALID_COMPUTER_NAME

解决办法:把ip地址改为dc的FQDN即可

5. 配置samba

  vi /etc/samba/smb.conf

[global]
workgroup = A                    //需要加入的域的netbios名,注意是域的netbios名,要大写
netbios name = Linux                   //本机器的netbios名,有的版本没有这一项会没有这个,
                                            要手动添加
   server string = Samba Server //对该服务器的描述
   printcap name = /etc/printcap
   load printers = yes
   cups options = raw

   log file = /var/log/samba/%m.log
   max log size = 50

security = ads                     //ads验证方式必须有realm项

   realm = A.COM                //增加这一行,注意这里是域名.
password server = 192.168.1.2           //这里是DC的FQDN,也可以写ip,但是有时候会出
                                                问题,建议写IP

encrypt passwords = yes                 //加密在网络上传输的用户密码
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

   dns proxy = no

winbind separator = /                  //用户的域名和用户名之间的间隔,用什么随你心情
   idmap uid = 1000000-2000000         
   idmap gid = 1000000-2000000            //域用户映射成Linux本地用户时所有的uid和gid范围.
   template homedir = /home/%D/%U            //与home文件夹中定义的作用相同.两者定义一个就行
   template shell = /bin/bash             //用户登陆后所使用的shell
   winbind use default domain = yes       //用户登陆使用默认的域
   winbind enum users = yes
   winbind enum groups = yes              //有人说是自动创建用 getent passwd[group]看到的
                                            用户和组的信息.具体有什么用,我也说不清楚         

winbind cache type = x    (winbind同步账户时间,可以没有)

[homes]

   comment = Home Directories
   browseable = no
   writable = yes
create mode = 0777
   directory mode = 0777   //创建的文件和目录的默认权限
   path = /home/%D/%U     //用户主目录的相关设置

[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
   guest ok = no
   writable = no
   printable = yes

测试:[root@localhost ~]# testparm    //测试samba配置文件的命令

Load smb config files from /etc/samba/smb.conf

Processing section "[homes]"

Processing section "[printers]"

Loaded services file OK.      //语法测试通过

Server role: ROLE_DOMAIN_MEMBER     //验证级别为  域成员

Press enter to see a dump of your service definitions   //回车将显示起作用的配置

[global]

        workgroup = A

netbios name = LINUX

realm = A.COM

        server string = Samba Server

        security = ADS

        password server = 192.168.1.2

encrypt passwords = yes 

log file = /var/log/samba/%m.log

        max log size = 50

        dns proxy = no

        idmap uid = 16777216-33554431

        idmap gid = 16777216-33554431

        template shell = /sbin/nologin

winbind separator = /

winbind enum users = yes

        winbind enum groups = yes

        winbind use default domain = yes

        cups options = raw

[homes]

        comment = Home Directories

        path = /home/%D/%U

        read only = no

        create mask = 0777

        directory mask = 0777

        browseable = no

[printers]

        comment = All Printers

        path = /usr/spool/samba

        printable = yes

        browseable = no

6. 启动相关的服务:

   service  winbind  restar

   service   smb  restart

   chkconfig --levels 35 winbind on

   chkconfig --levels 35 smb on

7. 将Linux加入Windows域

net ads join -W  A.COM  -S  dc1(AD的主机名)   -U administrator

   有时候用net ads join 会不好使,这时候就试试net rpc join 这种方式.

  有时候会出现这样的错误信息,解决办法如下:

  先停掉winbind和smb服务:

  service smb stop

  service winbind stop

  然后删除下面两个目录里的.tdb文件:         /etc/samba   和   /var/cache/samba

                                           据我理解,这些应该是在加入域过程中,产生的一些缓存

  文件,但是有时候这些缓存会造成一些错误信息,就象我们刚才看到的那样,删除后,重启服务,让他重新

  生成就行了.

  重新启动相关的服务,在执行加入域操作。

  测试:

  wbinfo  -t  //测试域的信任关系  

  wbinfo  -u  //查看域用户

  wbinfo  -g  //查看域用户组

8. 修改Linux的密码查找顺序

  vi /etc/nsswitch.conf

  修改相关记录

passwd:    winbind files
     shadow:    files winbind
     group:     winbind files

   修改 /etc/pam.d/system-auth (应该是登录Linux系统本机的验证方式,如果作文文件服务器,不让普通用户登录,不设置应该也可以)

   vi  /etc/pam.d/system-auth

auth        sufficient    pam_winbind.so          //增加这一行

account     sufficient    pam_winbind.so       //增加这一行,注意这两行的位置

9. 建立相关用户文件

修改完毕后,根据上面smb.conf文件的配置,我们就可以实现用户的登陆了,不过还有一点要说明,就是在用户登陆前,必须手动创建他们的登陆主目录,并且赋予他们完全控制的权限.

    比如,我想让administrator用户登陆Linux,实现步骤如下:

    cd /home

    mkdir A

    cd A    mkdir administrator

chown administrator: administrators  administrator      //在home目录下创建YANCHUN域目录,并在该目

录下创建要登陆用户administrator的目录,更改目录权限.

    这样在终端上就可以实现域用户账户的登陆了.

 

做到这里,恭喜你Linux和Windows的整合已经完成。

小提示:Linux做文件服务器,没必要让域用户在Linux本地登录。所有[homes]字段可以没有,家目录也可以没有。

此文档由  秘飞虎 (qq:815889476 mail:[email protected]) 花了很长时间,查了好多资料才完成的,如果转载,请保留作者,及联系方式。