Debian下AD域配置及检查方法

最新推荐文章于 2024-09-16 11:19:03 发布
置顶 最新推荐文章于 2024-09-16 11:19:03 发布
阅读量2k 收藏 4
点赞数
分类专栏: 文件共享服务 ad域 文章标签: 分布式存储 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43061895/article/details/103941532
版权

一、软件包

  • 使用samba+winbind的方式。(也可以使用sssd+samba的方式)
  • 必要的软件包:krb5-config krb5-user winbind libpam-winbind libnss-winbind
    • krb5-config krb5-user:用于配置krb5配置信息
    • libpam-winbind libnss-winbind:用于映射AD域服务用户、用户组信息至本地
    • winbind:守护进程,用于缓存AD映射至本地的用户信息

二、配置

  1. 配置smb.conf,注意ID映射部分的处理,主要看global部分即可,配置samba主要用于使用AD域访问samba服务。
  [global]
       realm = ADSERV.COM    # AD域名信息
       winbind cache time = 1
       idmap config ADSERV : range = 100000-200000  # 指定AD域用户的id映射范围(重要)
       winbind use default domain = true
       template homedir = /home/%U
       printcap name = /dev/null
       idmap config ADSERV : backend = rid   # 指定AD域用户存放数据库
       template shell = /sbin/nologin
       winbind enum users = yes
       Guest account = nobody
       security = ads
       winbind offline logon = true
       winbind enum groups = yes
       idmap config * : backend = tdb  # 指定AD域用户存放数据库
       log level = 0
       strict locking = no
       winbind separator = /
       load printers = no
       workgroup = ADSERV
       printing = bsd
       max xmit = 4194304
       case sensitive = yes
       cups options = raw
       log file = /var/log/samba/log.%%m
       store dos attributes = yes
       idmap config * : range = 70000-99999    # 普通用户的id映射范围
       max log size = 5

  1. /etc/nsswitch.conf,增加winbind信息,注意不要覆盖了sss信息,否则会导致sssd服务无法使用。

  2. passwd:         files sss winbind
group:          files sss winbind
shadow:         files sss winbind
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss  # 添加sss信息
ethers:         db files
rpc:            db files

netgroup:       nis sss  # 添加sss信息
    • 修改命令参考:sed -i “s/passwd.*/& winning/” /etc/nsswitch.conf

  3. 配置krb5.conf,下面是模板之间参考即可,只需替换相应的ip及域名即可。
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
default_realm = ADSERV.COM
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
ADSERV.COM = {
	    kdc = 172.16.19.193
	   admin_server = 172.16.19.193
	     default_domain =ADSERV.COM
	}

[domain_realm]
.adserv.com = ADSERV.COM
adserv.com = ADSERV.COM

[appdefaults]
pam = {
	debug = false
	ticket_lifetime = 36000
	renew_lifetime = 36000
	forwardable = true
	krb4_convert = false
	}

  4. 配置pam认证信息,该部分主要用于AD用户登录linux时的认证

    1. 编辑/etc/pam.d/common-password,将默认的use_authtok去掉
      password [success=1 default=ignore] pam_winbind.so try_first_pass
    2. 编辑/etc/pam.d/common-account,增加以下信息
      session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
    3. 编辑/etc/pam.d/common-session,增加以下信息
      session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

  5. 配置dns,因为第二步中nsswitch指定走dns认证,增加AD域ip信息
    vim /etc/resolv.conf
    nameserver adip

  6. 配置hosts,添加AD域信息,⚠️是增加ip 域名的关系
    adip dn

  7. 以上信息配置完成只需加入命令
    # 加入AD域
    net ads join -U username@domain%passwd

    # 重启winbind服务,更新AD域用户信息
systemctl restart winbind

# 重启smbd、nmbd服务,更新AD域信息
systemctl restart smbd
systemctl restart nmbd

# 使用wbinfo -t检查是否已加入

三、检查配置是否生效

  1. 使用wbinfo -t检查是否已成功加入AD域。

  2. 使用getent查询用户及用户组信息
    # 查询AD服务用户信息getent passwd + 用户名,不指定则查询所有,如
    getent passwd test1
    getent passwd

    # 查询AD服务器用户组信息getent group + 组名,不指定则查询所有,如
getent group "domain users"
getent group

  3. 使用id + 用户名,查询域服务器用户信息
    id test1

  4. 以上检查均正常,则表示AD域已成功加入,并且用户信息已成功映射至本地。

遇到的问题

  1. 加入了AD域,创建了samba服务,却无法登录。
    • 缺少安装包:libpam-winbind libnss-winbind,导致无法映射用户信息至本地,登录失败。
  2. ssh无法登录系统,由于未安装pam相关软件包,却配置了/etc/pam.d/common-account、common-session等认证信息,导致登录失败,安装对应包即可解决。
  3. 通常samba无法登录都是由于用户信息为正常映射或用户id与本地用户id冲突导致,参考以上方式解决即可。

配置参考

  • https://blog.51cto.com/yangzhiming/2164955
  • https://www.jianshu.com/p/fd18ac8c7c52
v_wu931614590
关注
专栏目录
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
分享国外安全团队及工具
热门推荐
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
DebianDC:DebianDC 是一个 Active Directory 域控制器发行版-开源
05-31
使用 DebianDC,您可以获得基于 Debian 的桌面环境。 里面有名为 Manager 的应用程序; 可以设置环境 可以加入现有环境 您可以使用 GUI 管理环境用户、计算机、dns 记录和活动目录环境设置。 对于DebianDC-Handbook,https://github.com/eesmer/DebianDC/blob/master/DebianDC-Handbook.md
Debian 10 加入Windows Server AD
分享的都是纯自学心得
08-26 423
环境:一台Windows Server 主域控。一台Debian 10客户机。
AD
嚴 帅的博客
06-23 2248
引入---LDAP协议 LDAP是Lightweight Directory Access Protocol的缩写,指轻量级目录访问协议;这个主要是相对另一目录访问协议X.500而言的;LDAP略去了x.500中许多不太常用的功能,且以TCP/IP协议为基础, 一般使用389端口进行数据传输。目录服务用于通过键-值类型格式存储、整理及表达数据。一般来讲,目录会面向查找、搜索以及读取操作做出优化,因此适用于经常引用但却较少变更的数据。 目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,
如何获取本机电脑的AD名称
u014582865的博客
04-20 5765
如何获取本机电脑的AD名称,该代码参考了MSDN帮助文档里面所写的内容 #define _WIN32_WINNT 0x0500 #include #include #include void _tmain(void) { TCHAR buffer[256] = TEXT(""); TCHAR szDescription[8][32] = { TEXT("NetBIOS"),
AD详解
m0_52514790的博客
06-23 1734
AD详解
REDMINE/SVN安装、配置、集成和应用(一)
码场老农的博客
07-16 3903
REDMINE/SVN安装、配置和集成 REDMINE和SVN的安装都很熟悉了,这主要介绍的是配置和集成。 1、安装企业内部 CA根证书 2、Redmine 安装和配置 3、SVN 安装和配置 4、Redmine/SVN 集成配置 5、自动创建SVN代码库并链接到Redmine
如何写Dockerfile,Dockerfile 参考文档
十年互联网开发老兵,陪你一起学技术
01-31 1416
  如何写Dockerfile,Dockerfile 参考文档 Dockerfile Dockerfile是由一系列命令和参数构成的脚本,一个Dockerfile里面包含了构建整个image的完整命令。Docker通过docker build执行Dockerfile中的一系列命令自动构建image。 Dockerfile其语法非常简单,此页面描述了您可以在Dockerfile中使用的命令。...
samba文件服务器应用实验
12-27
4. **集成**:能够集成到Windows环境中,如AD(Active Directory)。 5. **高级权限管理**:支持复杂的文件和目录权限设置。 #### 三、Samba安装与配置 ##### 1. 安装Samba 在大多数Linux发行版中,可以通过...
Ubuntu 16.04加windowsAD的具体教程
01-09
本文档介绍了Ubuntu 16.04加入windows AD的具体详细教程,是亲自操作成功多次后,总结的文档。
AD的详细介绍
weixin_51446936的博客
11-19 3102
文章目录 1、什么是2、内网的环境:3、的组成:4、的部署账号登录成员机的过程:什么是林 全局组(Global Group)本地组(Domain Local Group)通用组(Universal Group)本地组的权限全局组、通用组的权限成员机加入(一台XP:192.168.0.86,一台win7:192.168.0.87),过程一样,这里用xp做演示用户的权限 组织单元OU(Organizational Unit)组策略GPO(Group Po..
域控启用ldap_samba+ldap实现linux域控
weixin_42397024的博客
12-24 1216
系统AS4.1所需软件:openldap、samba、phpldapadmin-0.9.8.2.tar.gz、smbldap-tools-0.9.2.tgz(添加、管理帐户)。安装好openldap、samba(见配置文件)[root@pdc samba]# grep -v "#" smb.conf |grep -v ";"|uniq[global]workgroup = ldap.comnet...
常用的Linux可插拔认证模块(PAM)应用举例(二)
cgm88s的专栏
09-02 2270
本文紧接《常用的Linux可插拔认证模块(PAM)应用举例(一)》,继续介绍其他常用的Linux可插拔认证模块(PAM)。 pam_tally.so模块 pam_tally.so模块也是在系统中经常使用的一个pam模块。其主要作用是监控用户的不成功登录尝试的次数,在达到模块限制的次数时会锁定用户一段时间以防止一些黑客软件的暴力破解。 pam_tally.so模块的使用方法和刚才一
windows脚本登陆linux,winbind实现用windows账户登录linux机器
weixin_34139050的博客
05-01 508
环境介绍:PDC(域控制器)操作系统: Windows server 2003 企业版主机名:dc01.contoso.comNetbios name:dc01名:contoso.comIP 地址:172.20.5.240客户端:操作系统:CentOS release 5.2 (Final)主机名: vm12s00Netbios name : linuxIP 地址:172.20.5.45Samb...
windows同步linux用户,用winbind实现windowsPDC和linux系统的帐号同步
weixin_29359001的博客
05-07 655
测试环境:操作系统:redflagDC4.1 samba版本:samba-3.0.2a-9AX ip:172.16.100.2(注意,一定要使用比较“干净”的DC4.1环境,就用自带的samba也可以成功,我们之前的测试因为操作系统已经被别人做过配置,所以换了好几个版本的samba都不行,不得已后来重新安装DC4.1,配置就很顺利了。)PDC控制器:windows2000Server 测试名ta...
linux可以用ad管理员权限,Windows Active Directory中的Linux计算机(Debian),AD的管理员在登录后应具有root权限...
weixin_39715290的博客
05-14 278
我设法加入我的Debian机器(Squeeze)到现有的Active Directory(MSWindows 2008 R2 Server).一切正常,我可以使用Active Directory中的帐户登录(NTP,Kerberos,PAM,Samba和Winbind都已配置好,并且看起来状态良好).题:我想将Active Directory组映射到UNIX组,如下所示> Domain-Ad...
Linux】uImage头部信息详细解析
最新发布
W__winter的博客
09-16 1526
【代码】【Linux】uImage头部信息详细解析。
Debian 11 如何加入 windows server AD
05-19
要将Debian 11加入Windows Server AD,您需要执行以下步骤: 1. 确保Debian 11系统已安装samba和winbind软件包: ``` sudo apt-get update sudo apt-get install samba winbind ``` 2. 配置samba和winbind服务: 编辑smb.conf文件,将以下内容添加到文件的底部: ``` [global] workgroup = YOUR_DOMAIN_NAME security = ads realm = YOUR_DOMAIN_NAME.COM password server = YOUR_DOMAIN_CONTROLLER_IP idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template homedir = /home/%U template shell = /bin/bash ``` 注意:将YOUR_DOMAIN_NAME、YOUR_DOMAIN_NAME.COM和YOUR_DOMAIN_CONTROLLER_IP替换为您的名和域控制器的IP地址。 3. 将Debian系统加入Windows AD: 运行以下命令以加入: ``` sudo net ads join -U administrator ``` 在提示输入管理员密码时,请输入管理员密码。 4. 配置PAM和NSS: 编辑/etc/nsswitch.conf文件,并确保以下行包含在文件中: ``` passwd: compat winbind group: compat winbind shadow: compat winbind ``` 编辑/etc/pam.d/common-session文件,并将以下行添加到文件的底部: ``` session required pam_mkhomedir.so skel=/etc/skel umask=0077 session optional pam_winbind.so ``` 5. 重启samba和winbind服务: ``` sudo systemctl restart smbd sudo systemctl restart winbindd ``` 现在,您的Debian 11系统已成功加入Windows Server AD。您可以使用用户的凭据进行身份验证并访问资源。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值