Linux使用WindowAD进行身份验证_实践过.doc

1、 集成方式Windows2008 + DC + DNSRedhat6.6 + Samba + PAM + NSS + Winbind2、 系统环境:Windows DCLinux Client操作系统Windows 2008 Enterprise Service Pack 2Red Hat Enterprise Linux Server release 6.6 (Santiago)计算机名Win-dyd8x6mtmytHhwang1网络配置1/0/防火墙关闭 Windows Firewall 服务关闭 控制面板中的防火墙设置关闭iptables服务配置网络地址并测试网络通信正常3、 创建Windows 2008 域在windows2008上运行dcpromo创建域，选择创建window 2008的域，输入根域名为，并选择启用DNS服务，完成windows 2008域创建如下图。4、 配置DNS服务器地址Windows DC会自动设置自己的DNS地址为，检查并确认DNS是否指向自己的IP地址，如不是请修改如下图。 修改并配置linux机器的DNS地址指向window DC 的服务器地址如下图。roothhwang1 # more /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0TYPE=EthernetUUID=8415e901-b036-449f-8d8d-3fcfcab2295dONBOOT=yesNM_CONTROLLED=yesBOOTPROTO=noneIPADDR=0PREFIX=16DEFROUTE=yesIPV4_FAILURE_FATAL=yesIPV6INIT=noNAME=System eth0DNS1=1HWADDR=08:00:27:EC:FF:5ELAST_CONNECT=1432693781roothhwang1 #在linux机器上测试域名是否能够ping通。roothhwang1 # ping PING (1) 56(84) bytes of data.64 bytes from 1: icmp_seq=1 ttl=128 time=0.674 ms64 bytes from 1: icmp_seq=2 ttl=128 time=0.277 ms64 bytes from 1: icmp_seq=3 ttl=128 time=0.549 ms- ping statistics -3 packets transmitted, 3 received, 0% packet loss, time 11854msrtt min/avg/max/mdev = 0.277/0.500/0.674/0.165 msroothhwang1 # ping PING (1) 56(84) bytes of data.64 bytes from 1: icmp_seq=1 ttl=128 time=0.152 ms64 bytes from 1: icmp_seq=2 ttl=128 time=0.263 ms64 bytes from 1: icmp_seq=3 ttl=128 time=0.254 ms- ping statistics -3 packets transmitted, 3 received, 0% packet loss, time 11342msrtt min/avg/max/mdev = 0.152/0.223/0.263/0.050 msroothhwang1 #5、 配置linux机器的时间使用window DC 的网络时间服务以保证机器的时间能够同步，PAM需要时间同步。确认window的时间服务处于启动状态如图设置linux的时间同步服务器为window DC 的地址如下图6、 配置linux使用window DC进行身份验证在linux中执行system-config-authentication打开如下窗口，并修改User Account Database成使用winbind并填入如下图信息点击”Apply”按钮保存配置，先不要点击”Join Domain” 按钮，在修改完其他配置后再点击”Join Domain”按钮。此步修改的配置文件名为 /etc/pam.d/system-auth。7、 为登录到linux系统的window域用户配置能够自动创建linux的home 目录修改配置文件增加session optional pam_oddjob_mkhomedir.so skel=/etc/skel umask=0644或session optional pam_mkhomedir.so skel=/etc/skel umask=0644行配置信息。roothhwang1 # more /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth sufficient pam_fprintd.soauth sufficient pam_unix.so nullok try_first_passauth requisite pam_succeed_if.so uid = 500 quietauth sufficient pam_winbind.so use_first_passauth required pam_deny.soaccount required pam_unix.so broken_shadowaccount sufficient pam_localuser.soaccount sufficient pam_succeed_if.so uid 500 quietaccount default=bad success=ok user_unknown=ignore pam_winbind.soaccount required pam_permit.sopassword requisite pam_cracklib.so try_first_pass retry=3 type=password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword sufficient pam_winbind.so use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.sosession optional pam_oddjob_mkhomedir.so skel=/etc/skel umask=0644session success=1 default=ignore pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.soroothhwang1 #8、 检查Samba配置信息检查配置配置文件/etc/samba/smb.conf，打开文件查看以security开头的行是否指定为ads。 workgroup = whh password server = realm = WHH.COM security = ads idmap config * : range = 16777216-33554431 template homedir = /home/%U template shell = /bin/bash winbind use default domain = false winbind offline logon = false在此配置文件中增加template homedir = /home/%U配置行以指定用户登录后的home目录为/home/, 其中用户名用%U替换。配置域和linux系统对用户的ID的映射关系使用rid方式。idmap backend = rid9、 linux加入域在Linux系统里运行命令system-config-authentication打开如上图的窗口，点击”加入域”按钮，或在命令行运行net ads join -U Admin