Windows AD域使用Linux Samba

已于 2023-10-10 08:08:33 修改
阅读量1.9k 收藏 8
点赞数 1
分类专栏: windows Linux 文章标签: windows linux 运维
于 2023-09-21 11:28:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29974229/article/details/133129552
版权

Windows AD域使用Linux Samba

这个CASE烦就烦在不是简单的Windows服务器挂载Samba,而是服务器以域用户身份进行Samba验证.
这样就需要将Linux服务器先加到Windows域并取得域用户信息后对登录进行验证.

1. 初始化配置

1.1 初始化配置

配置服务器名

hostnamectl set-hostname samba.sh.pana.cn

hosts文件配置,确保正常解析到本机和域控

[root@centos7 ~]# cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 samba.sh.pana.cn
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6 samba.sh.pana.cn
192.168.31.104 samba.sh.pana.cn
192.168.31.101 ad.sh.pana.cn

确保域控为dns

[root@centos7 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search sh.pana.cn
nameserver 192.168.31.101
[root@centos7 ~]# grep DNS /etc/sysconfig/network-scripts/ifcfg-eth0
DNS1=192.168.31.101

禁用selinux

[root@samba ~]# sed -ir 's#=enforcing#=disabled#g' /etc/selinux/config
[root@samba ~]# grubby --update-kernel ALL --args selinux=0

配置防火墙(或者直接关闭防火墙)

[root@samba ~]# firewall-cmd --permanent --add-service=samba
success
[root@samba ~]# firewall-cmd --reload
success
[root@samba ~]# systemctl stop firewalld && systemctl disable --now firewalld
Removed "/etc/systemd/system/multi-user.target.wants/firewalld.service".
Removed "/etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service".

1.2 Yum仓库

可以使用光盘镜像仓库或者云yum仓库

[root@centos7 ~]# mount /dev/sr0 /media/
mount: /dev/sr0 is write-protected, mounting read-only
[root@centos7 ~]# cat /etc/yum.repos.d/centos7.repo
[centos7]
name=centos7
baseurl=file:///media/
gpgcheck=0
[root@centos7 ~]# yum makecache
Loaded plugins: fastestmirror
Determining fastest mirrors
centos7                                                                                                                       | 3.6 kB  00:00:00
(1/4): centos7/group_gz                                                                                                       | 153 kB  00:00:00
(2/4): centos7/primary_db                                                                                                     | 6.1 MB  00:00:00
(3/4): centos7/filelists_db                                                                                                   | 7.2 MB  00:00:00
(4/4): centos7/other_db                                                                                                       | 2.6 MB  00:00:00
Metadata Cache Created

2. 安装Samba

[root@samba BaseOS]# yum install -y samba samba-client*  samba-winbind* samba-swat* \
 samba-common-tools realmd adcli sssd oddjob oddjob-mkhomedir \
  samba-common-tools krb5-workstation authselect-compat vim

请添加图片描述

3. 将Samba服务器加入域

发现网络中的域

[root@samba ~]# realm list
[root@samba ~]# realm discover ad.sh.pana.cn
sh.papa.cn
  type: kerberos
  realm-name: SH.PAPA.CN
  domain-name: sh.papa.cn
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools

扫描域是否可达

[root@centos7 ~]# realm join --user=Administrator ad.sh.pana.cn
Password for Administrator:
## 确认加域成功
[root@centos7 ~]# realm list
sh.papa.cn
  type: kerberos
  realm-name: SH.PAPA.CN
  domain-name: sh.papa.cn
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: oddjob
  required-package: oddjob-mkhomedir
  required-package: sssd
  required-package: adcli
  required-package: samba-common-tools
  login-formats: %U@sh.papa.cn
  login-policy: allow-realm-logins

将Samba服务器加入pana域

[root@samba ~]# net ads join -U administrator
Enter administrator's password:
Using short domain name -- SH
Joined 'SAMBA' to dns domain 'sh.papa.cn'
DNS update failed: NT_STATUS_UNSUCCESSFUL
[root@samba ~]# systemctl restart winbind
[root@samba ~]# wbinfo -t
checking the trust secret for domain SH via RPC calls succeeded
[root@samba ~]# wbinfo -u
administrator
guest
krbtgt
samba

此时在ad服务器上可以看到samba服务器已经加入

请添加图片描述

4. Samba配置

[root@samba BaseOS]# mkdir -p /samba/data
[root@samba BaseOS]# chmod -R a+rw /samba/data

4.1 配置文件smb.conf

/etc/samba/smb.conf

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.
[global]
        workgroup = SH
        realm = sh.papa.cn
        security = ADS
        password server = 192.168.31.101
        idmap uid = 10000 - 20000
        idmap gid = 10000 - 20000
        template shell = /bin/bash
        winbind separator = /
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes
        encrypt passwords = yes

        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw

[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes

[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775
[share]
     comment = Home Directories
     path=/samba/data
     browseable = yes
     writable = yes
     valid users = samba

4.2 配置文件nsswitch.conf

/etc/nsswitch.conf

[root@centos7 ~]# sed -ir 's#^passwd:.*#passwd:     files winbind#g' /etc/nsswitch.conf
[root@centos7 ~]# sed -ir 's#^group:.*#group:      files winbind#g' /etc/nsswitch.conf
[root@centos7 ~]# sed -ir '/^shadow/d' /etc/nsswitch.conf

4.3 修改配置文件krb5.conf

/etc/krb5.conf

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
# default_realm = EXAMPLE.COM
 default_ccache_name = KEYRING:persistent:%{uid}

 default_realm = SH.PAPA.CN
[realms]
## 修改以下4行
 SH.PAPA.CN = {
  kdc = 192.168.31.101:88
  defautl_domain = SH.PAPA.CN
 }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
 sh.papa.cn = SH.PAPA.CN
 .sh.papa.cn = SH.PAPA.CN

4.4 重启samba服务

[root@samba ~]# systemctl enable --now smb
Created symlink from /etc/systemd/system/multi-user.target.wants/smb.service to /usr/lib/systemd/system/smb.service.
[root@samba ~]# systemctl restart smb

5. Windows域服务器访问Samba

5.1 确保网络正常

C:\Users\Administrator>ping samba.sh.pana.cn

正在 Ping samba.sh.pana.cn [192.168.31.104] 具有 32 字节的数据:
来自 192.168.31.104 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.31.104 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.31.104 的回复: 字节=32 时间<1ms TTL=64
来自 192.168.31.104 的回复: 字节=32 时间<1ms TTL=64

192.168.31.104 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms,最长 = 0ms,平均 = 0ms

C:\Users\Administrator>

5.2 访问Samba

请添加图片描述

输入域用户名密码

用户名取决于/etc/samba/smb.conf中share中的valid user

请添加图片描述

此时就能在samba上正常创建和删除文件了

请添加图片描述

此时在samba服务器下也能看到此文件

[root@samba ~]# ls /samba/data/
111.bmp
samba 加入Windows AD
vincentchou2009的专栏
07-10 7836
配置这个samba 2:3.6.6-2 版本的samba,前后花了我将近三周时间,配置完之后大概写了个注意文档。 希望对大家有所帮助。 参考配置文件有很多,就没一一列举。那些配置都是针对比较老旧的版本,参考性不是很强,而且许多配置之间略有不同,所以也就不列举了,有兴趣的可以自己查着对比下。 另外看到过一个比较新的文档,自己尝试了下,没有成功。有兴趣的可以试试,网址如下: https://w
Windows AD用户访问Linux samba服务
QuantumEnergy's blog
09-25 7270
说明test.com替换成你的AD服务名,注意有的配置中是大写,有些配置是小写/etc/samba/smb.confworkgroup = TEST realm = TEST.COM security = ADS password server = 192.168.10.254 # password server是AD服务器IP idmap uid = 10000 - 20000 idmap
linux samba服务AD认证
最新发布
xiaochenshenyu的博客
03-27 395
【代码】linux samba服务AD认证。
Linux samba加入AD
weixin_34109408的博客
01-05 436
前言: 这文章可能在某些情况下还会有各种的不足,所以我只是作一个抛砖来引玉.希望能和大家讨论这个方案存在的问题与如何解决问题. 背景: 在上次的背景之下(见上一文章),管理员发现公司内现有部门不多,但员工数量非常的多.如果按照用户一个一个的去创建用户并用smbpasswd增加samba的登陆用户非常的麻烦.而且公司内已经存在一台windows 2003 server控制...
windows AD用户访问centos7 下samba共享文件夹
qq_34630889的博客
10-16 4242
一、samba服务器加入AD。 1,修改主机名: vi /etc/hostname centos #主机名 2,添加以下文件到hosts文件 vi /etc/hosts 192.168.150.2 centos.com #账号和ip 3,修改dns vi /etc/resolv.conf search centos.com #名 nameserver 192.168.150.2 #...
samba_AD
weixin_34072637的博客
12-17 157
Samba+windows2003 AD 开始的时候,对samba服务配置一头雾水,还好在大家的帮助下有了很大的收获.下面是我的文档: 先是参考王老师的技术文档,把理论东西加了上去 除了简单的文件和打印共享之外,Samba 服务器可以配置通过 W2K3E 的控制器(KDC Server)的 身份验证加入 WindowsAD。...
关于samba服务加入AD用户验证和权限管理
qq_42646907的博客
09-25 5279
关于samba服务加入AD用户验证和权限管理 1、环境:centos7 (1)安装samba服务和相关的软件包:samba, krb5-user, samba-client samba-common samba-winbind samba-winbind-clients 2、编辑配置文件 (1)resolv.conf (DNS客户机配置文件,用于设置DNS服务器的IP地址及DNS名,还包含了主机的名搜索顺序) vim /etc/resolv.conf search centos.com #名 na
Linux加入windows ad步骤详解(winbindsamba方案)
09-15
### Linux加入Windows AD步骤详解(Winbind+Samba方案) #### 概述 在现代企业环境中,Windows Active Directory (AD) 是一种常见的集中式身份管理和访问控制解决方案。然而,在混合环境中,除了Windows系统外,...
samba加入到windowsad
09-01
Windows AD是一个中央化的用户、计算机和其他资源的管理结构,它提供身份验证、授权和策略管理。 要将Samba服务器加入到Windows AD,你需要以下步骤: 1. **安装Samba**:在你的Linux系统上安装Samba软件包...
Ubuntu 16.04加windowsAD的具体教程
01-09
### Ubuntu 16.04 加入 Windows AD 详解 #### 一、概述 在企业级环境中,为了统一管理资源与用户权限,通常会采用 Windows AD(Active Directory)进行集中式管理。对于运行 Ubuntu 16.04 的机器来说,加入 AD...
linux 结合smb加入 windows ,linux加入windows之完美方案2(samba)
weixin_39889329的博客
05-05 655
本文实现了samba服务被访问的时候通过windows服务器进行用户名和密码验证;认证通过的用户可以自动分配500M的共享空间;在用户通过windows登陆系统的时候可以自动把这块空间映射成一块硬盘。环境说明:文件服务器用的Centos5.3,控用的Win2k3 sp2,Domain是rainbird.net。Centos5.3:Name:FilesrvIP:192.168.1.245Dns...
SAMBA文件服务器的AD控搭建
12-15
建立带控制器的samba文件服务器之控制器搭建,使用控制器账户访问samba服务器,给予不同账户不同权限
利用sambaLinuxWindows的整合
08-25
利用sambaLinuxWindows的整合
Samba AD 集成
02-21
本指南将向你介绍如何使用 Authconfig 在命令行中将无图形界面的 CentOS 7 服务器集成到 Samba4 AD 控制器中。 这类设置提供了由 Samba 持有的单一集中式帐户数据库,允许 AD 用户通过网络基础设施对 CentOS 服务器进行身份验证
Linux+samba-winbind+AD实现统一认证
07-16
Linux+samba-winbind+AD实现统一认证(修改后)
WindowsLinux混合系统通过AD实现用户集中认证
悦分享
12-02 2455
管理的Linux服务器和Windows服务器如果很多,如果都用本地用户名管理,要管理和记住几十台甚至上百台服务器的不同账号不同密码,这是很难的。但是如果所有服务器账号密码都设置一样,那又完全没有安全性可言。什么是服务器的集中认证(统一权限管理)?当服务器数量呈几何级增长之后,为每台机器维护单独的用户系统已经成为了一个几乎不可能完成的任务(试想下为一万台服务器上的每个用户每三个月修改一次密码)。
Samba结合AD实现帐号认证的文件服务
apple2025262的博客
08-18 1318
准备一台Windows控制器,在Samba服务器上安装Webmin图形化管理工具,samba, krb5-user, winbind. 修改/etc/krb5.conf. [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:...
linux 管理,在Linux命令行下管理Samba4 AD架构
weixin_34028581的博客
05-13 441
这篇文章包括了管理 Samba4 控制器架构过程中的一些常用命令,比如添加、移除、禁用或者列出用户用户组等。我们也会关注一下如何配置安全策略以及如何把 AD 用户绑定到本地的 PAM 认证中,以实现 AD 用户能够在 Linux 控制器上进行本地登录。要求在 Ubuntu 系统上使用 Samba4 来创建活动目录架构***步:在命令行下管理1、 可以通过 samba-tool 命令行工具来...
Samba 系列(九):将 CentOS 7 桌面系统加入到 Samba4 AD 环境中
weixin_34010949的博客
05-19 274
这篇文章讲述了如何使用 Authconfig-gtk工具将 CentOS 7 桌面系统加入到 Samba4 AD 环境中,并使用帐号登录到 CentOS 系统。 要求 1、在 Ubuntu 系统中使用 Samba4 创建活动目录架构 2、CentOS 7.3 安装指南 第一步:在 CentOS 系统中配置 Samba4 AD DC 1、在将 C...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值