Windows AD域搭建及Linux加入域

最新推荐文章于 2024-08-01 17:07:48 发布

无名氏0428

最新推荐文章于 2024-08-01 17:07:48 发布

阅读量4w

点赞数 10

分类专栏：安全文章标签： ad kdc

本文链接：https://blog.csdn.net/ainidong2005/article/details/53239617

版权

安全专栏收录该内容

1 篇文章 0 订阅

订阅专栏

实验环境：VM

windowsServer 2012 GUI 192.168.137.100

centos6.8 192.168.137.101

1、使用VM创建虚拟机，并设置静态IP

使用NAT方式

1）设置Virtual NetWork Editor

需要注意将Use local DHCP service to distribute IP address to VMS 设置为取消选中状态。

点击NAT Settings查看网关IP

2）宿主机设置网络共享

2、windows搭建AD域

请读者参看：

http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG

3、Linux加入AD域

   yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog
   yum install samba-winbind samba samba-common samba-client samba-winbind-clients

1）修改DNS

（1）编辑网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0，添加DNS为AD域服务器地址，如：DNS1=192.168.56.10，其中192.168.56.10是AD域服务器IP。

（2）编辑/etc/sysconfig/network更改主机名: 更改为长主机名，主机名加域名：例如域：domian.com,更改后的主机名host.domian.com.

（3）执行service network restart，重启网络。

（4）以上操作完成后，在命令行执行ping domain.com应该可以ping通，其中domain.com是AD域的域名。如果ping不通，请检查防火墙以及DNS的配置。

2）时间同步

请读者参看http://blog.csdn.net/ablo_zhou/article/details/5658916

3）加域

（1）setup命令

（2）

（3）

（4）这里选择/bin/bash

（5）

（6）成功后将会显示如下提示：

（7）编辑/etc/samba/smb.conf，修改如下一行，可以实现登录时不需要输入域名 winbind use default domain = true

（8）启动相关服务并设置开机自启动，执行如下命令：

Service smb start

Chkconfig smb on

4）测试加域是否成功

（1） # wbinfo –t ##测试RPC通讯，提示succeeded表示成功

cheTEST the trust secret for domain DOMAIN via RPC calls succeeded

（2）# wbinfo -u ##查看域用户
DOMAIN\guest
DOMAIN\administrator
DOMAIN\krbtgt
DOMAIN\barlowliu
……以下省略……

（3） ##如果如上，则读取正常

（4）# wbinfo -g ##查看域组
DOMAIN\domain computers
DOMAIN\cert publishers
DOMAIN\domain users
DOMAIN\domain guests
DOMAIN\ras and ias servers
DOMAIN\domain admins
DOMAIN\schema admins
DOMAIN\enterprise admins
……以下省略……

上述两个命令执行后如果可以看到域中的用户和组则正常。如果提示如下，则表示与域控制器同步还未完成。

（5）测试ntlm组件

// 关闭防火墙

ntlm_auth --username=administrator
password: ##输入用户密码
NT_STATUS_OK: Success (0x0)
（6）验证代域
# net ads testjoin
Join is OK

（1）创建用户家目录，在此以/apps为例，具体目录可以自己规定，注意/etc/samba/smb.conf配置文件也要相应的改变，并要把家目录设为共享目录，

共享目录设置请参考nfs文件共享

mkdir /apps

chmod 777 /apps

（2）编辑文件/etc/samba/smb.conf，在[global]添加如下几行：

template homedir = /apps/%D/%U

follow symlinks = yes

wide links = yes

unix extensions = no

在[homes]下添加如下几行：

[homes]

comment = Home Directories

read only = no

writeable = yes

（3）编辑/etc/pam.d/system-auth以及/etc/pam.d/sshd，两个文件中都加入如下一行：

session required pam_mkhomedir.so skel=/etc/skel umask=0077

（4）启动相关服务，执行如下三个命令

service smb restart

（5）测试家目录是否可以成功创建，在命令行su成AD域用户jhadmin，在家目录/apps/domain下查看是否创建用户的家目录（与jhadmin同名的目录），

如果成功创建，则相关配置正确。

5. 解决uid不同问题

将以下内容拷贝到/etc/samba/smb.conf的[global]中

idmap uid =20000-29999

idmap gid =20000-29999

idmap config domain:backend= rid

idmap config domain:range = 20000000-29999999 注意:domain(为短域名大写)

winbind enum users =yes

winbind enum groups= yes

winbind separator =+

注：如果uid仍不统一，则需要清理samba数据库：rm –rf /var/lib/samba/*.tdb，然后重新加域。

6. 使用域账户直接登录

重新启动linux，账户名输入域账户，传统为HADOOP\user ，经过上述配置读者可以直接使用用户名称，而不用再加短域名。

以下为可能发生的错误及处理方式：

1）Samba Net Ads Join “DNS Update Failed”Error Fixed

No DNS domain configured for mymachine.Unable to perform DNS Update.

DNS update failed!

I found an article about how to fix this problem. The fix is to modifythe 127.0.0.1 entry in the /etc/hosts file. I have mine like this:

127.0.0.1 mymachine.mycompany.com mymachine

2）使用 wbinfo -g

checking the trust secret for domain MyDomain via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret

i had this same errorbut when i added sudo before wbinfo -t using sudo wbinfo -t it worked