windows同步linux用户,用winbind实现windowsPDC和linux系统的帐号同步

最新推荐文章于 2022-05-01 15:30:28 发布
最新推荐文章于 2022-05-01 15:30:28 发布
阅读量633 收藏 1
点赞数
文章标签: windows同步linux用户

测试环境:操作系统:redflagDC4.1 samba版本:samba-3.0.2a-9AX ip:172.16.100.2

(注意,一定要使用比较“干净”的DC4.1环境,就用自带的samba也可以成功,我们之前的测试因为操作系统已经被别人做过配置,所以换了好几个版本的samba都不行,不得已后来重新安装DC4.1,配置就很顺利了。)

PDC控制器:windows2000Server 测试域名tail 主机名pig ip:172.16.100.1

测试DNS :windows2000Server 主机名pig (与PDC为同一台服务器)

测试过程:

一、准备工作:

配置windows2000Server为PDC,建立tail域,配置能够解析 tail 域的DNS,并用window2000或者windows98和客户端使用该DNS,能够正确登录windows2000Server的PDC域。

二、配置winbindd服务连接PDC抓到的域内的用户和组信息:

1、修改nsswitch.conf文件:

vi /etc/nsswitch.conf

做如下修改,使winbind成为passwd及group的认证信息源

passwd: files winbind

shadow: files

group: files winbind

2、配置DC4.1的DNS客户端文件:

vi /etc/resolv.conf

加上nameserver 172.16.100.1

ping一下pig.tail,确保可以连通

3、vi smb.conf,确保[global]段设置中有下面几行:

[global]

workgroup = TAIL

netbios name = rfdc41

server string = Samba Server

security = domain

password server = pig.tail

preferred master = no

domain master = no

domain logons = no

idmap uid = 10000-20000

idmap gid = 10000-20000

template shell = /bin/bash

template homedir = /home/%D/%U

winbind separator = %

winbind use default domain = Yes

idmap uid和idmap gid是设置winbind把win200x域用户、组map成本地用户、组所使用的ID号范围,如果用户很多,可以加大这两个值之间的差。

Template homedir是用户登录后的主目录,我设置成/home/域名/用户名。

Template shell是用户登录后的shell,如果你想用PDC给你的sshd做认证,就可以加上这个,给用户一个登录shell。

winbind separator是获取帐号的时候,域名与用户名之间的分隔符,比如tail%work

winbind use default domain设置它为yes是在显示的时候屏蔽掉域名与用户名之间的分隔符,否则用户在登录linux系统的时候,就要很烦琐地键入类似tail%work这样的用户名了。

5、用samba的net join命令把这台机器加入到windows200x域中(samba3.0以上的版本可以支持)

net rpc join -S pig.tail -U Administrator

然后输入域管理员密码,也就是Administrator的密码。

6、启动samba服务和winbindd服务

#service smb start

#service winbind start

7、用wbinfo命令查看用winbindd服务连接PDC抓到的域内的用户和组的信息

wbinfo -u

可以看到类似如下winbind抓取到的PDC用户信息:

Administrator

Guest

huaijinyang

jack

krbtgt

laohuai

user1

user2

user3

user4

user5

work

再执行:

wbinfo -g

可以看到类似如下winbind抓取到的PDC组信息:

BUILTIN%System Operators

BUILTIN%Replicators

BUILTIN%Guests

BUILTIN%Power Users

BUILTIN%Print Operators

BUILTIN%Administrators

BUILTIN%Account Operators

BUILTIN%Backup Operators

BUILTIN%Users

Domain Admins

Domain Users

Domain Guests

Domain Computers

Domain Controllers

Cert Publishers

Schema Admins

Enterprise Admins

Group Policy Creator Owners

DnsUpdateProxy

zzz

8、检查PDC用户(组)转换为本地用户(组)UID和GIU情况:

getent passwd

显示将PDC用户转换成系统用户的UID情况,显示最后类似如下信息:

Administrator:x:10000:10000::/home/TAIL/Administrator:/bin/bash

Guest:x:10001:10000::/home/TAIL/Guest:/bin/bash

huaijinyang:x:10002:10000:huai:/home/TAIL/huaijinyang:/bin/bash

jack:x:10003:10000:jack:/home/TAIL/jack:/bin/bash

krbtgt:x:10004:10000::/home/TAIL/krbtgt:/bin/bash

laohuai:x:10010:10000:laohuai:/home/TAIL/laohuai:/bin/bash

user1:x:10005:10000:user1:/home/TAIL/user1:/bin/bash

user2:x:10006:10000:user2:/home/TAIL/user2:/bin/bash

user3:x:10007:10000:user3:/home/TAIL/user3:/bin/bash

user4:x:10008:10000:user4:/home/TAIL/user4:/bin/bash

user5:x:10011:10000:user5:/home/TAIL/user5:/bin/bash

work:x:10009:10000:work:/home/TAIL/work:/bin/bash

PDC用户Administrator的UID从10000开始。

getent group

显示将PDC用户转换成系统用户的GID情况,显示最后类似如下信息:

Domain Admins:x:10003:Administrator

Domain Users:x:10000:Administrator,Guest,krbtgt,work,jack,user1,user2,user3,user4,huaijinyang,user5,laohuai

Domain Guests:x:10005:Guest

Domain Computers:x:10006:CALL-CENTER$,hjy$,localhost$,lishen$,HUAIJINYANG$,smb1$,rfas41$,lux$

Domain Controllers:x:10007:PIG$

Cert Publishers:x:10008:

Schema Admins:x:10002:Administrator

Enterprise Admins:x:10004:Administrator

Group Policy Creator Owners:x:10001:Administrator

DnsUpdateProxy:x:10009:

zzz:x:10010:

BUILTIN%System Operators:x:10011:

BUILTIN%Replicators:x:10012:

BUILTIN%Guests:x:10013:

BUILTIN%Power Users:x:10014:

BUILTIN%Print Operators:x:10015:

BUILTIN%Administrators:x:10016:

BUILTIN%Account Operators:x:10017:

BUILTIN%Backup Operators:x:10018:

BUILTIN%Users:x:10019:

PDC组Users 的UID从10000开始。

能够看到这样的信息,表示配置工作已经完成了大半,winbind服务已经在正常工作了。

这里有一点需要注意,如果在PDC域中新建了用户或者为某个用户修改了密码,需要重新刷新samba服务和winbind服务,过程如下:

service smb stop

service winbind stop

rm -f /etc/samba/*.tdb

rm -f /var/cache/samba/*.tdb

net rpc join -S pig.tail -U Administrator

service smb start

service winbind start

才能重新抓取到PDC的更新信息。

9、建立用户的登录主目录

samba的配置文件中指定了template homedir的路径,我们先要建立这个目录

mkdir /home/TAIL

注意PDC域名要大写!

三、配置PDC用户登录的pam认证

1

、备份原来的pam认证文件

mkdir /home/backup

cp /etc/pam.d/login /home/backup

cp /etc/pam.d/system-auth

2、修改login文件

vi /etc/pam.d/login

这个文件最后一句是

session    optional     pam_console.so

在这句后面加上

session    required     pam_mkhomedir.so skel=/etc/skel umask=0022

3、修改system-auth文件

vi /etc/pam.d/system-auth

a、找到以“auth”字符串开头并调用“pam_unix.so”的语句,如下:

auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok

在这一句最后加上字符串“use_first_pass”,如下:

auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok  use_first_pass

然后在这一句上面加上语句:

auth        sufficient    /lib/security/pam_winbind.so

b、找到以“account”字符串开头并调用“pam_unix.so”的语句,如下:

account     required      /lib/security/$ISA/pam_unix.so

在这一句最后加上字符串“use_first_pass”,如下:

account     required      /lib/security/$ISA/pam_unix.so use_first_pass

然后在这一句上面加上语句:

account     sufficient    /lib/security/pam_winbind.so

四、用PDC用户登录测试

在linux中某个终端以PDC用户登录,能够看到$提示符,说明配置完成。

相关日志

吹亚吹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux加入windows ad域步骤详解(winbindsamba方案)
09-15
本文主要实验centos加入windows AD的方法,大家参考使用
linux加入windows域之完美方案.doc
11-29
Linux 作为一个开源操作系统,逐渐变得越来越流行,许多企业开始考虑将 Linux 集成到 Windows 域中。然而, Linux 加入 Windows 域并不是一件易事,需要非常复杂的配置和设置。本文将详细介绍 Linux 加入 Windows 域...
学习 Linux,302(混合环境): Winbind
bytxl的专栏
10-18 2436
http://www.ibm.com/developerworks/cn/linux/l-lpic3-313-3/index.html 使用 Windows 域控制器进行 Linux 帐户管理 如果您的网络包括一个域控制器(一台 Windows 计算机或一台 Samba 服务器),那么您可以使用它的用户数据库,或者在 Linux 计算机的本地帐户数据库中维护本地登录用户。这样做要求
什么是winbind
leofirelyu的专栏
10-26 2372
接触Samba半年,基本操作和配置比较熟悉了。但是对于客户的现场问题,很多都是丈二和尚摸不着头脑。最近开发任务不重,开始深入学习samba。今天研究一下winbindd,看了man,这个守护进程大概是做名字转换的。目前只知道这么多。
winbindd 执行档
01-30 242
#!/bin/sh # # chkconfig: 35 91 9 # # description: Start/stops the winbindd daemon. # # # Source...
samba and winbind for linux configure
01-30 121
Download Site: http://www.samba.org Config...
LinuxWindows域的文件服务器.pdf
09-06
为了解决这些问题,我们可以考虑使用Linux操作系统和Samba软件来构建一个安全的文件共享解决方案,同时还能实现Windows域的集成,包括用户文件共享和打印机共享。 Linux操作系统以其稳定性和安全性著称,不容易受...
Linux加入Windows域之完整操作步骤.doc
02-23
Linux 加入 Windows 域是many Linux 用户和管理员面临的挑战。虽然网上有很多相关的教程和资料,但是这些信息往往零散、不够详细,导致很多人加入域的过程中遭遇困难。本文将提供一个详细的、完整的操作步骤,帮助...
Linux加入windows同步用户名.pdf
10-11
winbind服务允许Linux系统Windows Active Directory (AD) 域进行交互,实现用户身份验证和权限管理。 在本实验环境中,Windows域是基于Windows Server 2003的Active Directory,Linux系统使用的是Red Hat 5.7 64...
Windows 7 无法加入Linux Samba PDC的解决
chinaitv的专栏
02-27 1495
Windows 7 无法加入Linux Samba PDC的解决方法 1、确定Samba的版本,支持win7的版本如下: Samba 3.4 or later Samba 3.3.5 or later Samba 3.3.2, 3.3.3 and 3.3.4 (with NOTES) Samba 3.2.12 or later2、修改Windows 7 注册表 HKLM\Syste
windows脚本登陆linux,winbind实现windows账户登录linux机器
weixin_34139050的博客
05-01 482
环境介绍:PDC(域控制器)操作系统Windows server 2003 企业版主机名:dc01.contoso.comNetbios name:dc01域名:contoso.comIP 地址:172.20.5.240客户端:操作系统:CentOS release 5.2 (Final)主机名: vm12s00Netbios name : linuxIP 地址:172.20.5.45Samb...
我如何配置samba服务器上的winbind实现访问域控制器的用户和组?
weixin_34380948的博客
10-17 388
下面部分是一些在/etc/samba/smb.conf中使用的参数设置的示例,来实现创建(列出)你的samba服务器上的域用户和组信息。 这里假设samba服务器已经正常的加入到域中,而且samba服务已经设置为自动启动,在本例我们将使用MYDOMAIN这个域。 在[global]部分使用以下所示配置可以使得winbind服务列出da...
ubuntu主机名发现winbind
龙图腾的博客
05-24 734
ubuntu主机名发现winbind 未完成
winbind服务作用
weixin_45137294的博客
04-29 3723
Winbind是Samba程序套件的一个组件,可以解决统一登录问题。Winbind使用Microsoft RPC调用,可插入身份验证模块(PAM)和名称服务开关(NSS)的UNIX实现,以允许Windows NT域用户在UNIX计算机上出现并作为UNIX用户运行。本章介绍Winbind系统,其提供的功能,如何配置以及如何在内部工作。 Winbind提供了三个独立的功能: 验证用户凭据(通过P...
巧用winbind服务来使window200xPDC为你做认证 [转]
NETOCOOL的专栏
11-04 1898
发表:eagerlinuxer  http://bbs.chinaunix.net/forum/viewtopic.php?t=435614&show_type=new        也许你公司的服务器大多是windows200x的,而且已经建了WIN200x的域来对公司的所有机器及用户做管理,而且这个域工作得很不错,所有用户的权限设置的也已经十分的合理。这时你想加一台linux或BSD的机器进去
winbind导致服务器响应慢,Samba winbindd 权限提升漏洞(CVE-2016-2126)
weixin_29047545的博客
08-13 559
Samba winbindd 权限提升漏洞(CVE-2016-2126)发布日期:2017-03-23更新日期:2017-03-28受影响系统:Samba Samba 4.0.0 - 4.5.2描述:BUGTRAQ ID: 94994CVE(CAN) ID: CVE-2016-2126Samba,是种用来让UNIX系列的操作系统与微软Windows操作系统的SMB/CIFS网络协议做链接的自由软...
从Unix BINDWin DNS迁移
技术日志
02-02 1341
QUESTION NO: 136You are the administrator of TestKing’s network. All client computers run Windows 2000 Professional.All servers run either Windows 2000 Server, Windows NT server 4.0, or UNIX. All DNS
DNS与BIND
weixin_43410194的博客
05-01 538
DNS与BIND一次完整的查询请求经过的流程解析答案(都进行缓存)DNS主-辅服务器区域zone和域domainDNS可能遭到的安全攻击区域数据库文件BIND的安装配置BIND:Berkeley Name Domain**程序包****bind** 一次完整的查询请求经过的流程 client启动dns hosts文件 DNS本地缓存 DNS服务器(递归查询 自己负责解析的域:直接查询数据库并返回答案 不是自己负责的域:服务器缓存迭代查找 解析答案(都进行缓存) 肯定答案 否定答案 权威答案:由直
【文件共享服务之一】 Samba服务
weixin_34261739的博客
11-26 396
******************理论部分*****************Samba: 是一款在Linux/Unix系统实现windows系统进行文件共享的免费开源软件。广泛应用于Unix-like与Windows之间,提供文件共享和打印机共享服务,使得不同系统之间跨平台共享资源更加便捷.Samba服务: 由服务端及客户端程序构成,采用的是sm...
linux系统查看用户所在ad域
最新发布
06-07
要查看Linux系统用户所在的AD域,可以使用以下步骤: 1. 安装 Samba 软件包: ``` sudo apt-get install samba ``` 2. 安装 winbind 软件包: ``` sudo apt-get install winbind ``` 3. 配置 /etc/samba/smb....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值