Debian samba支持域用户登录

 

1.samba服务器软件需求  

krb5-user krb5-doc krb5-config  （krb5-workstation\pam_krb5\krb5-libs\krb5-devel为Centos需要的软件）

samba-3.0.5-2  

2.配置kerberos(关键)  

下面配置参数让 Kerberos 进程知道处理活动目录服务器，对 /etc/krb5.conf 做适当的修改，修改时需要注意的是 Kerberos 是大小写敏感的。  

这是我的krb5.conf配置文件：  

[logging]  

default = FILE:/var/log/krb5libs.log  

kdc = FILE:/var/log/krb5kdc.log  

admin_server = FILE:/var/log/kadmind.log  

[libdefaults]  

default_realm = DOMAIN.COM  //改这里

dns_lookup_realm = false  

dns_lookup_kdc = false  

forwardable = yes

[realms]  

DOMAIN.COM = {  

kdc = 192.168.2.248   //为AD服务器的ip地址

# admin_server = kerberos.example.com:749  

default_domain = MYDOMAIN.COM   //需要加入的域名

}  

[domain_realm]  //改这里

.mydomain.com = MYDOMAIN.COM  

mydomain.com = MYDOMAIN.COM   

3.连接2003服务器  

kinit 用户名@DOMAIN.COM  

Kerberos 的 kinit 命令将测试服务器间的通信，后面的域名MYDOMAIN.COM 是你的活动目录的域名，必须大写，否则会收到错误信息：  

kinit(v5): Cannot find KDC for requested realm while getting initial credentials.  

如果通信正常，你会提示输入口令，口令正确的话，就返回 bash 提示符，如果错误则报告：  

kinit(v5): Preauthentication failed while getting initial credentials.  

配置 /etc/nsswitch.conf

修改 /etc/nsswitch.conf ,让Winbind做为passwd和group验证时的标准 （只修改

下面的部分，其它的不用改）

passwd:     files winbind

shadow:     files

group:      files winbind

Samba 的配置文件 /etc/samba/smb.conf

[global]

 workgroup = DOMAIN

client ldap sasl wrapping = sign  //绞尽了脑汁 必须添加  然后才可以用 net ads join -U username 加入域 

  //报错  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Strong(er) authentication required

 idmap gid = 15000-20000

 idmap uid = 15000-20000

 winbind use default domain = yes

 template shell = /bin/bash

 template homedir = /homes/%D/%U

 security = ads

 realm = DOMAIN.COM

 password server = 10.136.74.64 //域服务IP地址

 winbind separator = / 

 winbind enum groups = yes

 winbind enum users = yes

[homes]

comment = %U 's Home Directories

browseable = no

writeable = yes

valid users = %D/%U

path = /home/%D/%U //必须和上面的template创建的目录相同

preexec=/home/domain/buildhome %D %U %G

Samba 加入 Win 2003 域

net rpc join -W DOMAIN -U user 或者 net ads join -U user

会出提示pasword: 

输入Win2003域的用户密码

成功会出现 Joined domain XXX

重新启动 samab 和 winbind

/etc/init.d/samba restart

/etc/init.d/winbind restart

确认加入win2003域成功，可以

1.到Win2003的域控计算机上，依次点击 “开始”－”所有程序“－“系统管理工

具” － “Active Directory 使用者及计算机”

在其中依次点击 “YUVAD.COM"-- "computer",找到安装 debian的计算机名称 debian

2.在Debian中执行 wbinfo -t   出现 

checking the trust secret via RPC calls succeeded

说明主机信任已成功建立

执行 wbinfo -u 可列出debian中的用户和win2003 域中的用户信息

执行 wbinfo -g 可列出debian中的组和win2003 域中的组信息

自动建立用户主目录

当域用户登入 samba 时，可以看到samba上已经有了一个与域帐号同名的共享资料

夹，但当点击进入时会提示无法使用，这是因为按上的配置，Samba不会自动为登入

的域用户建立主目录。所以可以使用脚本来自动建立主目录，并在[homes]中添加一

句

preexec=/home/domain/buildhome %D %U %G

cat  /home/domain/buildhome

umask 0077

if [ ! -d /home/$1/$2 ]; then

mkdir /home/$1/$2

chown $2 /home/$1/$2

chgrp $3 /home/$1/$2

fi

或者

vi /etc/pam.d/sshd

auth sufficient /lib/security/pam_winbind.so //ssd登录时用winbind认证

account sufficient /lib/security/pam_winbind.so

session required /lib/security/pam_mkhomedir.so //自动创建登录用户的目录

最后用net ads group/user add/delete来添加查看删除AD用户 //删除域服务器上的组和用户

 

至此完成了所有的配置。

 

本文出自 “让我men共同成长” 博客，谢绝转载！