使用Active Directory来进行身份认证,主要是通过linux下的kerberos服务器来认证windows下的用户,达到windows AD域用户在linux下的使用,实现windows域控下的账户在linux各种服务上认证,同一管理账号,方便samba、postfix、FTP等。如使用AD域下的aa账户登录linux下的samba(aa的samba目录)或ftp,或发送邮件等。首先要把linux主机也加入到windows域中。
主机名 系统 ip地址 用途
aa-kk windows server2003 AD 192.168.40.199 AD域控制器,用于账号管理
nn centos 或RHEL 5.5 192.168.40.175 搭建各个服务,如samba、postfix、FTP等
qq xp 192.168.40.20 客户端,用于测试samba、postfix等,实现windows域控制的账户和linux服务之间的结合。
环境如下:
aa-kk是域名为ASK.COM的域控制器,dns指向自己。linux下的dns也指向改域控制器的ip地址,且linux下可以ping通aa-kk.ask.com的出来的ip地址是192.168.40.199.也就是说解析正反向地址成功。还有最重要的是时间同步。
Win 2003 Server作为域控制器,客户端提交的认证请求和授权的过程是通过Kerberos5协议来完成的,所以要让Linux的samba服务器支持域认证,
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = ASK.COM ##指定域名
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
ASK.COM = { ##指定域名
kdc = 192.168.40.199:88