Active Directory和SAMBA的结合使用

最新推荐文章于 2024-06-25 21:33:20 发布
最新推荐文章于 2024-06-25 21:33:20 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: # Samba 文章标签: AD 活动目录 samba
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QTM_Gitee/article/details/82793537
版权

Active Directory

简介

活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。

活动目录是 Windows 的身份验证和目录服务,活动目录基于 LDAP 实现其功能,其使用 DNS 进行主机名的解析,使用 Kerberos V5 进行用户身份验证,使用 LDAP V3 进行统一的帐户管理。

下面介绍如何让将Linux 主机加入到AD域。

搭建Windows AD域服务器

关于如何使用Windows Server搭建AD域服务器,在这里不做介绍。

将Linux操作系统加入到AD域

软硬件环境:
角色主机OSIP地址
Linux 主机(也充当samba服务器)CentOS7.4 x64100.10.10.188
AD 服务器(也充当DNS服务器)Windows Server 2016100.10.10.225
NTP服务器(非必需)CentOS7.4 x64100.10.10.10
安装所需的组件
#yum install samba samba-client samba-client-libs samba-common samba-common-libs samba-common-tools samba-krb5-printing samba-libs samba-python samba-winbind samba-winbind-modules  samba-winbind-clients samba-winbind-krb5-locator -y
#yum install krb5-devel krb5-pkinit krb5-libs krb5-workstation krb5-server-ldap krb5-server -y
#yum install pam_krb5 -y
#yum install realmd oddjob-mkhomedir oddjob -y
先决环境配置
  1. 修改DNS地址为AD服务器的IP:
#vim /etc/resolv.conf
nameserver 100.10.10.225
  1. 同步Linux 主机的时间
#ntpdate 100.10.10.10
具体的配置过程

有两种配置方法:(1)直接修改配置文件(2)执行realm命令

1. 直接修改配置文件
  • 修改nsswitch.conf
#vim /etc/nsswitch.conf
passwd:     files winbind sss
shadow:     files winbind sss
group:      files winbind sss
hosts:      files dns myhostname
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   nisplus sss
publickey:  nisplus
automount:  files nisplus sss
aliases:    files nisplus
  • 修改smb.conf
#vim /etc/samba/smb.conf
[global]
workgroup = SUSE
security = ads
idmap config \* : backend = tdb
idmap config \* : range = 100000-200000
idmap config SUSE : backend = rid
idmap config SUSE : base_rid = 0
idmap config SUSE : range = 10000-20000
password server = 100.10.10.225
realm = SUSE.COM.CN
netbios name = stor04
template shell = /bin/bash
template homedir = /home/%U
winbind use default domain = true
winbind offline logon = true
winbind enum groups = yes
winbind enum users = yes
winbind separator = /

#workgroup = SAMBA
#security = user
#passdb backend = tdbsam
#printing = cups
#printcap name = cups
#load printers = yes
#cups options = raw
#map to guest = bad user
#guest account = guest

[mn]
path = /tmp
writable = yes
guest ok = No
browseable = Yes
  • 修改krb5.conf
# vim /etc/krb5.conf
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SUSE.COM.CN
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true 

[realms]
SUSE.COM.CN = {
kdc = 100.10.10.225:88
admin_server  = 100.10.10.225:749
default_domain = SUSE.COM.CN
} 

[domain_realm]
.suse.com.cn = SUSE.COM.CN
suse.com.cn = SUSE.COM.CN

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
  • 加入AD域
#net ads join -U administrator
Enter administrator's password:
Using short domain name -- SUSE
Joined 'STOR04' to dns domain 'SUSE.COM.CN'
No DNS domain configured for stor04. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

可忽略该DNS错误

  • 启动winbind
#systemctl restart winbind
2. 执行realm命令
  • 加入AD域suse.com.cn
#realm join --client-software=winbind suse.com.cn

使用上一命令, realm实用程序自动:

①为suse.com.cn域中的成员创建/etc/samba/smb.conf文件

②将用于查找用户和组的winbind模块添加到/etc/nsswitch.conf文件

③配置/etc/krb5.conf文件中的Kerberos客户端以获取AD成员身份

④更新/etc/pam.d/目录中的可插入验证模块(PAM)配置文件

⑤启动winbind服务并在系统引导时启动该服务

​ 有关realm实用程序的更多详细信息,请参阅realm(8)手册页以及“Red Hat Windows集成指南”中的相应部分。

  • 修改smb配置文件

​ 在/etc/samba/smb.conf文件中设置备份ID映射后端或自定义ID映射设置。可参考方法一的相应部分。有关RID的信息参见附录

验证 Samba是否被正确加入为域

在Linux作为域成员加入环境之后,您可以运行不同的测试来验证连接是否成功。

1. 验证操作系统是否可以检索域用户帐户和组

使用getent实用程序验证操作系统是否可以检索域中的用户和组。例如:

  • 获取AD服务器上的所有用户
# getent passwd
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
guest:x:1001:1001::/home/guest:/sbin/nologin
nasadmin:x:1002:1002::/home/nasadmin:/sbin/nologin
administrator:\*:10500:10513::/home/SUSE/administrator:/bin/false
guest:\*:10501:10513::/home/SUSE/guest:/bin/false
defaultaccount:\*:10503:10513::/home/SUSE/defaultaccount:/bin/false
krbtgt:\*:10502:10513::/home/SUSE/krbtgt:/bin/false
zdx:\*:11104:10513::/home/SUSE/zdx:/bin/false
lxx:\*:11105:10513::/home/SUSE/lxx:/bin/false
xyh:\*:11106:10513::/home/SUSE/xyh:/bin/false
hash:\*:11107:10513::/home/SUSE/hash:/bin/false
raid:\*:11115:10513::/home/SUSE/raid:/bin/false
ec:\*:11116:10513::/home/SUSE/ec:/bin/false
dfs:\*:11117:10513::/home/SUSE/dfs:/bin/false
  • 查询AD域中的administrator帐户:
# getent passwd "SUSE/administrator"
administrator:\*:10500:10513::/home/SUSE/administrator:/bin/false
  • 查询AD域中Domain Users组的成员:
# getent group "SUSE/Domain Users"
domain users:x:10513:

如果该命令正常工作,请在设置文件和目录权限时验证是否可以使用域用户和组。 例如,要将/srv/samba/example.txt文件的所有者设置为administrator,并将该组的所有者设置为Domain Admins:

# chown administrator:"Domain Admins" /srv/samba/example.txt
2. 验证AD域用户是否可以获得Kerberos凭据

在AD环境中,用户可以从DC获取Kerberos凭据。 例如,要验证administrator用户是否可以获取Kerberos凭据。

①获取administrator@SUSE.COM.CN主体的凭据:

# kinit administrator@SUSE.COM.CN

②显示缓存的Kerberos凭据:

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrator@SUSE.COM.CN
Valid starting Expires Service principal
11.09.2017 14:46:21 12.09.2017 00:46:21
krbtgt/SUSE.COM.CN@SUSE.COM.CN
renew until 18.09.2017 14:46:19
3. 列出可用的域

要列出通过winbindd服务可用的所有域, 请输入:

# wbinfo --all-domains
BUILTIN
STOR04
SUSE
验证是否可将AD域用户作为smb用户

修改smb配置文件,将共享设置为需要用户名和密码才能访问,将valid users设置为AD服务器上的用户:

#vim /etc/samba/smb.conf
[mn]
path = /tmp
writable = yes
guest ok = No
browseable = Yes
valid users = zdx

#systemctl restart smb

在windows 主机使用域用户zdx可访问访问SMB共享。

退出AD域

根据加入AD域的方式不同,有两种退出AD域的方式:

#net ads leave -U administrator

​ 或者

#realm leave -U administrator

附录

rid ID映射后端

Samba可以使用Windows SID的相对标识符(RID)在CentOS Linux 上生成 ID。

rid ID映射后端基于AD和NT4域的算法映射方案实现只读API来计算帐户和组信息。 配置后端时,必须在idmap config DOMAIN:range参数中设置最低和最高RID。 Samba不会映射比此参数中设置的RID更低或更高的用户或组。

注意

作为只读后端,rid不能分配新的ID,例如BUILTIN组。因此,请勿将此后端用于*默认域。

使用 rid 后端的优点和缺点

优点

  • 所有在配置范围内具有RID的域用户和组都可自动在域成员上使用。
  • 您不需要手动分配ID,主目录和登录shell。

缺点

  • 所有域用户都分配了相同的登录shell和主目录。 但是,您可以使用变量。
  • 如果所有Samba域成员都使用带有相同ID范围设置的rid后端,则用户和组ID在Samba域成员中仅相同。
  • 不能将单个用户或组排除在域成员上可用。仅排除配置范围之外的用户和组。
  • 根据winbindd服务用于计算ID的公式,如果不同域中的对象具有相同的RID,则可能会在多域环境中出现重复ID。 ·
配置rid后端

配置Samba域成员以使用rid ID映射后端:

  1. 编辑/etc/samba/smb.conf文件中的[global]部分:

a. 如果默认域(*)不存在,请添加ID映射配置。 例如:

idmap config * : backend = tdb
idmap config * : range = 10000-999999

b. 为域启用rid ID映射后端:

idmap config DOMAIN : backend = rid

c. 设置一个足够大的范围,以包含将来分配的所有RID。 例如:

idmap config DOMAIN : range = 2000000-2999999

Samba 忽略此域中的RID不在范围内的用户和组。

注意

该范围不得与此服务器上的任何其它域配置重叠。

d. 设置将分配给所有映射用户的shell和主目录路径。 例如:

template shell = /bin/bash template homedir = /home/%U

有关变量替换的详细信息,请参见smb.conf(5)手册页中的VARIABLE SUBSTITUTIONS部分。

  1. 验证/etc/samba/smb.conf文件:
#testparm
  1. 重载Samba配置:
#smbcontrol all reload-config
  1. 确认设置按预期工作。 请参阅“验证操作系统是否可以检索域用户帐户和组”一节。

rid的获取和计算

RID是SID的最后一部分。 例如,如果用户的SID是S-1-5-21- 5421822485-1151247151-421485315-30014,那么30014是相应的RID。

获取AD域中用户和组的SID

在windows AD域控制器上执行以下的命令。

  • 获取用户的SID:
PS C:\Users\Administrator> wmic useraccount get name,sid
Name            SID
Administrator   S-1-5-21-3995169811-2334568557-3193790263-500
Guest           S-1-5-21-3995169811-2334568557-3193790263-501
krbtgt          S-1-5-21-3995169811-2334568557-3193790263-502
DefaultAccount  S-1-5-21-3995169811-2334568557-3193790263-503
zdx             S-1-5-21-3995169811-2334568557-3193790263-1104
lxx             S-1-5-21-3995169811-2334568557-3193790263-1105
xyh             S-1-5-21-3995169811-2334568557-3193790263-1106
hash            S-1-5-21-3995169811-2334568557-3193790263-1107
raid            S-1-5-21-3995169811-2334568557-3193790263-1115
ec              S-1-5-21-3995169811-2334568557-3193790263-1116
dfs             S-1-5-21-3995169811-2334568557-3193790263-1117
  • 获取组的SID:
PS C:\Users\Administrator> wmic group get name,sid
Name                                     SID
Cert Publishers                          S-1-5-21-3995169811-2334568557-3193790263-517
RAS and IAS Servers                      S-1-5-21-3995169811-2334568557-3193790263-553
Allowed RODC Password Replication Group  S-1-5-21-3995169811-2334568557-3193790263-571
Denied RODC Password Replication Group   S-1-5-21-3995169811-2334568557-3193790263-572
DnsAdmins                                S-1-5-21-3995169811-2334568557-3193790263-1101
LM-Local                                 S-1-5-21-3995169811-2334568557-3193790263-1109
Cert Publishers                          S-1-5-21-3995169811-2334568557-3193790263-517
RAS and IAS Servers                      S-1-5-21-3995169811-2334568557-3193790263-553
Allowed RODC Password Replication Group  S-1-5-21-3995169811-2334568557-3193790263-571
Denied RODC Password Replication Group   S-1-5-21-3995169811-2334568557-3193790263-572
DnsAdmins                                S-1-5-21-3995169811-2334568557-3193790263-1101
LM-Local                                 S-1-5-21-3995169811-2334568557-3193790263-1109
Cloneable Domain Controllers             S-1-5-21-3995169811-2334568557-3193790263-522
计算本地ID

给定RID可通过以下公式计算对应的本地ID:

本地ID = RID - BASE_RID + LOW_RANGE_ID

给定本地ID可通过以下公式计算对应的RID:

RID = 本地ID + BASE_RID - LOW_RANGE_ID

rid: https://www.samba.org/samba/docs/current/man-html/idmap_rid.8.html

HHFQ
关注
专栏目录
Samba设置为Active Directory域控制器
weixin_30556959的博客
06-05 2447
一 简介 从版本4.0开始,samba可以作为Active DirectoryAD)域控制器(DC)运行,如果在生产环境中安装samba,建议运行两个或者多个DC用于故障转移 本文介绍如何让将一个Samba设置为新AD集群的第一个DC,另外,如果要将samba NT4域迁移到Samaba AD,也可以参考本文 samba作为AD DC支持: 集成的LDAP服务器作为AD后端 在heim...
Samba结合AD实现域帐号认证的文件服务器
apple2025262的博客
08-18 1242
准备一台Windows域控制器,在Samba服务器上安装Webmin图形化管理工具,samba, krb5-user, winbind. 修改/etc/krb5.conf. [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:...
Ubuntu20.04使用Samba
xinxin的博客
06-25 1749
Samba 是一个开源软件套件,用于在 Linux 和 Unix 系统上实现 SMB(Server Message Block)协议和 CIFS(Common Internet File System)协议,使这些系统能够与 Windows 系统进行文件和打印共享。Samba 允许 Linux/Unix 服务器与 Windows 客户端进行无缝集成,实现跨平台的网络文件和打印共享。
Windows ADSamba完美结合
em's 笔记簿
04-13 1328
Windows AD 与Samba完美结合 Machine 1: OS:    Windows Server 2003 HostName:dc.test.com IP:172.18.30.125/24 Machine 2: OS:    RedHat Ent...
如何整合sambaactivedirectory
东方自由人的专栏(自由的存在,自由的生活,在东方)
07-14 1691
1 需要解决的问题    现在有一台activedirectory的服务器,需要通过此服务器进行系统用户密码验证后   再进入到samba进行相应的文件访问。   2 解决方法如下    1)安装samba(网上资料很多,我就不多说了)   2)安装完成后会生成一些samba文件,smb.conf的配置如下(节选)       # 此处一定注意要跟你的域完全一致,有的可能设置为*.local形式的
把Ubuntu 9.04版本的Samba 服务器加入到Active Directory
weixin_34410662的博客
11-21 301
把Ubuntu 9.04版本的Samba 服务器加入到Active Directory中这篇教程描述怎样在一台Ubuntu 9.04的Samba服务器中集成Active Directory,和怎样使用Winbind;在Linux服务器看到域用户和组透明。我假设你已经安装了Ubuntu的服务器,并准备配置Samba。 现在首要的事情,我们需要安装一些应用软件,才能进行配置...
docker-samba-ad-dc:* UNMAINTAINED *运行带有Samba4的Active Directory域控制器的Docker容器
05-15
Docker容器展示了SambaActive Directory域控制器(AD DC)支持 该存储库是未维护的。 检查其中一个叉子是否最新。 运行这些命令以启动容器 docker build -t samba-ad-dc . docker run --privileged -v ${PWD}/...
RazDC:基于CentOS和Samba4构建的Active Directory域控制器。-开源
05-08
RazDC是基于CentOS和Samba4的与MS兼容的Active Directory域控制器。 它包括一个自定义Web界面,用于管理Active Directory,DHCP,系统服务等。
docker-sambaad:samba4在Alpine Linux上的Active Directory域控制器
05-09
如果您需要用于Windows pc的SAMBA AD,则需要一个VM,使用此Docker容器可以加入AD,但是重新启动后,您将无法通过AD登录。 用法 没有任何配置,终止时将其丢弃: docker run -it --rm babim/sambaad docker run --...
linux_joindomain:用于Linux RHELCentOS 7和8的使用sssd自动加入Domain Active Directory的角色Ansible,用于RHELCentOS 6的Debian,Ubuntu和samba winbind
05-03
这是一个使用sssd,realm,samba和winbind自动加入Linux Machine CentOS和Redhat的角色。 此角色已在RedHat / CentOS 7.x,8.x 6.6和Ubuntu 20 18 16和Debian 10 9上进行了测试 要求 为debian服务器配置并更新了...
Samba 4.0发布,支持Active Directory
weixin_33672109的博客
12-19 294
Samba 开发团队已发布 Samba 4.0 版本,这是该项目诞生 21 年(与 Linux 内核同岁)后推出的一个具有重要里程碑意义的版本。 Samba 针对Windows 系统提供文件、打印、以及认证服务。本次发布的版本引入的最主要特性是实现了兼容的Active Directory活动目录)协议。在 Active Directory 支持方面,Samba 4.0 包含...
vagrant-samba-ad-dc:用于创建Samba Active Directory域控制器的游荡文件
05-26
桑巴AD / DC 该存储库包含一个Vagrant文​​件,该文件描述了Samba Active Directort域控制器的设置。 简而言之: 由游民控制的设置 LXC容器作为基础 节点操作系统:Ubuntu Trusty(作为开始) 配置 该Vagrantfile进行了参数设置:运行任何vagrant命令时(配置vagrant的帮助除外),用于配置节点数量以及节点的网络接口和地址的选项都存储在配置文件“ vagrant.yml”中。 然后可以方便地重新配置整个设置,以修改该文件。 先决条件 连接到网络Linux主机(在Fedora 21上测试,也应在其他主机上工作) 已安装lxc 无业游民安装 vagrant-lxc插件已安装 可能在主机上准备桥接接口(该示例使用libvirt的virbr接口) 跑步 运行vagrant status以创建vagrant.yaml配置文件。
Centos7.1最小化安装后编译samba4.2.1搭建Active Directory Service的域控制器
twobrushes的专栏
04-22 670
文章来源:http://www.itnose.net   实验平台 I3二代,8G内存,WIN764位系统,安装Virtualbox4.3.26,建立CENTOS7.1虚拟机,挂载MINIMAL光盘安装系统。   一、最小化安装CENTOS7.1,过程略。 二、登陆Centos7.1系统,安装依赖。我喜欢用下载的Centos DVD安装软件,比网络快。   1. 如果要从...
windows AD域用户访问centos7 下samba共享文件夹
qq_34630889的博客
10-16 4026
一、samba服务器加入AD域。 1,修改主机名: vi /etc/hostname centos #主机名 2,添加以下文件到hosts文件 vi /etc/hosts 192.168.150.2 centos.com #域账号和域ip 3,修改dns vi /etc/resolv.conf search centos.com #域名 nameserver 192.168.150.2 #...
Windows AD域搭建及Linux加入域
热门推荐
天道酬勤
11-20 4万+
实验环境:VM windowsServer 2012 GUI   192.168.137.100 centos6.8                               192.168.137.101 1、使用VM创建虚拟机,并设置静态IP    使用NAT方式   1)设置Virtual NetWork Editor                  需要注意将Use lo
CentOS6.3 Samba安装配置、多用户、加域
weixin_34101784的博客
09-09 515
时间:2013年8月23日 系统:CentOS release 6.3 (Final)x86_64 硬件:DELL R420、DELL 1950 说明:域环境下的Samba 工作组环境下的Samba 要求:各个部门只对自己部门的share有读写权限,所有人对共有share都有读权限,特定的人对共有share有读写权限 说明:这其实...
Ubuntu安装配置Samba服务
u010037542的专栏
09-14 5454
一、什么是Samba Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享
什么是域(domain)
weixin_34319640的博客
10-11 1697
转自: http://www.cnblogs.com/jfzhu/archive/2012/10/11/2719285.html 在今天很多人都有意识或无意识的跟域这个东西打过交道。如果你在公司里使用电脑,并且你的电脑接入了公司的局域网,那你的电脑很可能就在一个域中。如何查看你的电脑是否连接到一个域中,以Windows为例,右击我的电脑 –>属性,可以看到,我现在使用的这台电脑就加入了一个...
samba 和 NFS的区别
最新发布
08-19
- Samba 可以更好地集成到Windows Active Directory环境中,对于Windows用户的认证和授权管理更为方便。 - NFS 的权限管理相对简单,通常依赖于本地系统用户和组权限设置。 4. **性能与功能**: - 在高性能环境...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值