通过Winbind将Linux加入到Windows域.doc

通过Winbind将Linux加入到Windows 域Winbind简介Winbind 是一款 Samba 组件，在 CentOS 系统下，他被包含在了 samba-common 包中。 Winbind 在Linux上实现了微软的RPC调用、可插式验证模块和名字服务切换，通过 samba 接口与 Windows 域控获得联系，可以使NT域用户能在Linux主机上以Linux用户身份进行操作。通过设定 Linux 服务器的 nss 配置，我们可以让系统通过 Winbind 程序来解析用户信息。NSS简介NSS 是 Sun 公司开发用于定义系统中配置文件查找顺序的工具。他的配置文件在 /etc/nsswitch.conf 。通过他我们可以定义系统在登录时通过 Winbind 来获取用户信息，而不只是本地配置文件：/etc/passwd 。以下是可能出现在 /etc/nsswitch.conf 中的项目：aliases 邮件别名；passwd 系统用户；group 用户组；shadow 隐蔽口令；hosts 主机名和I P地址；networks 网络名和号；protocols 网络协议；services 端口号和服务名称；ethers 以太网号；rpc 远程进程调用的名称和号netgroup 网内组在本文中，我们需要修改的是：passwd 系统用户；group 用户组；您需要将这两项修改为：passwd: files winbindgroup: files winbind个别参考资料将 shadow 也添加了 winbind 参数，我觉得没有必要。files 表示将从本地文件读取用户、组信息，而 winbind 参数则表示经过 winbind 从域读取用户信息。安装 Samba 配置 Winbind1.通过 yum 安装 sambarootlocalhost etc# yum install samba samba-commonSetting up Install ProcessSetting up repositoriesupdate 100% |=| 951 B 00:00base 100% |=| 1.1 kB 00:00addons 100% |=| 951 B 00:00extras 100% |=| 1.1 kB 00:00Reading repository metadata in from local filesParsing package install argumentsResolving Dependencies Populating transaction set with selected packages. Please wait. Downloading header for samba-common to pack into transaction set.samba-common-3.0.10-1.4E. 100% |=| 38 kB 00:01 Package samba-common.i386 0:3.0.10-1.4E.12.2 set to be updated Downloading header for samba to pack into transaction set.samba-3.0.10-1.4E.12.2.i3 100% |=| 101 kB 00:02 Package samba.i386 0:3.0.10-1.4E.12.2 set to be updated Running transaction checkDependencies Resolved=Package Arch Version Repository Size=Installing:samba i386 3.0.10-1.4E.12.2 update 13 Msamba-common i386 3.0.10-1.4E.12.2 update 5.0 MTransaction Summary=Install 2 Package(s)Update 0 Package(s)Remove 0 Package(s)Total download size: 18 MIs this ok y/N: y2.检查 Winbind 库文件。确保系统 lib 目录下已经包含 libnss_winbind.so 库文件。rootlocalhost etc# ls /usr/lib | grep winbindlibnss_winbind.sorootlocalhost etc#3.配置 Samba打开 samba 配置文件，/etc/samba/smb.conf 。vi /etc/samba/smb.conf我们对 global 标签下的内容进行配置：workgroup = ABC #你的域名 比如完整域名为： ，则 ABC 写 LINUXBLOG。wins support = yes #开启 wins 服务器支持。wins server = #这里填写你的域控服务器地址，中间以空格分隔。wins proxy = yessecurity = ADS #关于 security level 的详细资料你可以查看 Samba 官方资料。这个选项我见过使用 Domain 的，也见过使用 AD 的。我使用 ADS也是成功的，暂时未搞懂他们的区别。添加以下内容：acl compatibility = win2kidmap uid = 16777216-33554431 #idmap uid 和 idmap gid是设置winbind把win200x域用户、组map成本地用户、组所使用的ID号范围，如果你的用户很多，可以加大这两个值之间的差。idmap gid = 16777216-33554431password server = 4 3 3 #解析用户密码的服务器，自然是 DCmap to guest = bad userguest ok = norealm = CN.MOBINEX.COM # realm 有域的含义，可能是指定完整域名。encrypt psswords=cyeswinbind use default domain = yestemplate homedir = /home/%D/%U 指定用户目录格式 /home/域名/用户名请手动创建域名目录，并且将其设置为 777。不然域用户无法正常登入主机。template shell = /bin/bash #指定登入用户使用的 shell4. 配置 Kerbersvi /etc/krb5.conf以下是一个典型的未配置的文件：loggingdefault = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.loglibdefaultsdefault_realm = EXAMPLE.COMdns_lookup_realm = falsedns_lookup_kdc = falserealmsEXAMPLE.COM = kdc = :88admin_server = :749default_domain = domain_ = EXAMPLE.COM = EXAMPLE.COMkdcprofile = /var/kerberos/krb5kdc/kdc.confappdefaultspam = debug = falseticket_lifetime = 36000renew_lifetime = 36000forwardable = truekrb4_convert = false最简单的配置方法，就是将 EXAMPLE.COM 全部替换成你的域名（大小写需要保持一致），必要的地方写上IP：loggingdefault = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.loglibdefaultsdefault_realm = LINUXBLOG.CNdns_lookup_realm = falsedns_lookup_kdc = falserealmsLINUXBLOG.CN = kdc = :88admin_server = :749default_domain = domain_ = LINUXBLOG.CN = LINUXBLOG.CNkdcprofile = /var/kerberos/krb5kdc/kdc.confappdefaultspam = debug = falseticket_lifetime = 36000renew_lifetime = 36000forwardable = truekrb4_convert = false5.加域在加域之前，一定要将 samba 服务以及 winbind 服务重新启动一下，以便能够加载配置好的参数。rootlocalhost init.d# service smb restartShutting down SMB services: FAILEDShutting down NMB services: FAILEDStarting SMB services: OK Starting NMB services: OK rootlocalhost init.d# service winbind restartShutting down Winbind services: FAILEDStarting Winbind services: OK (1) 使用 net join 命令加域net rpc join -S PDC -U Administrator这只是一个大致的格式，PDC 为域名：LINUXBLOG。net join 的用法很多地方都可以找到，我感兴趣的是另外一款小工具。(2) 使用 authconfig 将机器加域执行 authconfig 命令，可以看到如下界面：选择使用 Winbind，使用 MD5 口令，使用 Kerberos，使用 SMB 验证，使用 Winbind 验证。按下一步查看kerberos设置：查看 Winbind 设置，选择加入域，输入帐号密码，按确定。最后点击 Join Domain。提示你保存配置文件，我们选择“是”。提示输入管理员用户名以及密码：完成加域之后会返回上一层界面，我们点击OK。这时系统会自动重启 Winbind 服务。这时就可以看到域用户的信息了，比如：rootlocalhost init.d# id Administratoruid=16777216(administrator) gid=16777216(Domain Users) groups=16777216(Domain Users),16777217,16777218,16777219(Domain Admins),16777220(Enterprise Admins),16777221(Schema Admins),16777222(Group Policy Creator Owners)当然也可以使用 wbinfo -g （查看组信息） 以及 wbinfo -u （查看用户信息） 命令。rootlocalhost init.d# wbinfo -gBUILTINSystem OperatorsBUILTINReplicatorsBUILTINGuestsBUILTINPower UsersBUILTINPrint OperatorsBUILTINAdministratorsBUILTINAccount OperatorsBUILTINBackup OperatorsBUILTINUsersDomain ComputersDomain ControllersSchema AdminsEnterprise AdminsDomain AdminsDomain UsersDomain GuestsGroup Policy Creator OwnersDnsUpdateProxy配置 PAM很久以前的 Linux 程序，都有自己的用户验证系统。这种模式在需要换验证系统的时候就会变的很麻烦，你需要修改程序的源代码。甚至某些程序需要改变很多架构。比如 ssh 默认是读取本地的 passwd 文件来判断用户信息的，但是要让他通过 samba 来获取用户信息，我们怎么做呢？修改 sshd 的源代码？显然这是一个很繁琐的方式。PAM 解决了这个问题。众多应用程序都提供了和 PAM 的接口。如此一来应用程序便可以不管用户验证方式，而交给 PAM 处理，即 sshd 只认识 PAM 不认识 Winbind，当然可以不认识 passwd 。而具体如何验证，这交给 PAM 去控制了。我们通过修改 PAM 的配置文件达到改变验证模式的目的。你可以通过 深入Linux PAM 体系结构 一文来详细了解 PAM 的配置文件以及工作模式。我们通过编辑 /etc/pam.d/sshd 文件来改变 sshd 的用户验证模式，典型