linux可以用ad管理员权限,Windows Active Directory域中的Linux计算机(Debian),AD的管理员在登录后应具有root权限...

最新推荐文章于 2023-08-26 20:35:37 发布
最新推荐文章于 2023-08-26 20:35:37 发布
阅读量247 收藏
点赞数
文章标签: linux可以用ad管理员权限

我设法加入我的Debian机器(Squeeze)到现有的Active Directory(MS

Windows 2008 R2 Server).一切正常,我可以使用Active Directory中的帐户登录(NTP,Kerberos,PAM,Samba和Winbind都已配置好,并且看起来状态良好).

题:

我想将Active Directory组映射到UNIX组,如下所示

> Domain-Admins(RID 512) – >根(gid

0)

>域用户(RID 513) – >用户

(gid 100)

我想实现两个目标:

>任何用户创建的目录和文件(包括自动创建的主文件夹)都应该具有gid = 100

目前gid = 10000,winbind采取的自动gid,被采取)

> Domain-Admins组的成员在登录后应具有root权限(或者:成为wheel组的成员)

目前,Domain-Admins组的成员既不是gid = 0的成员也不是轮组(它在我的Debian安装中不存在,但这是另一个问题).

为了实现这些目标,我尝试设置以下映射

> net groupmap add ntgroup =“Domänen-Admins”unixgroup = root rid = 512 type = domain

> net groupmap add ntgroup =“Domänen-Benutzer”unixgroup = users rid = 513 type = domain

这种方法不成功,既没有提供SID而不是RID确实有帮助.对于每种方法,我确保winbind缓存为空(网络缓存刷新),并重新启动samba和winbind服务.

有什么建议?

非常感谢您的支持! (我知道有一些Debian大师已经解决了这样的场景;-))

此致,Wolfram

此外,用户syneticon-dj请求的一些信息:

SID被骗了

root@S15:~# net getdomainsid

SID for local machine S15 is: S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc

SID for domain ITSL is: S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff

root@S15:~# net groupmap add ntgroup="Domänen-Admins" unixgroup=root rid=512 type=domain

Successfully added group Domänen-Admins to the mapping db as a domain group

root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users rid=513 type=domain

Successfully added group Domänen-Benutzer to the mapping db as a domain group

root@S15:~# net groupmap list

Domänen-Admins (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-512) -> root

Domänen-Benutzer (S-1-5-21-aaaaaaaaaa-bbbbbbbbbb-ccccccccc-513) -> users

对我来说,似乎映射了错误的组帐户.我的意思是映射的SID对应于本地机器SID而不是域SID.无论如何,它不起作用,即目标#1没有实现.

我没有找到任何强制选择域SID的选项.因此,我清除了组映射并直接添加了组SID的映射,如下所示:

root@S15:~# net groupmap add ntgroup="Domänen-Benutzer" unixgroup=users sid="S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513" type=domain

Successfully added group Domänen-Benutzer to the mapping db as a domain group

root@S15:~# net groupmap list

Domänen-Benutzer (S-1-5-21-dddddddddd-eeeeeeeeee-ffffffffff-513) -> users

这种方法也不起作用,即没有达到目标#1.

根据要求,以下是smb.conf的摘录:

[global]

workgroup = ITSL

realm = itsl.local

security = ADS

# This machine is a member server, hence no authentication and we leave the following line commented

; domain logons = yes

idmap uid = 10000-20000

idmap gid = 10000-20000

template shell = /bin/bash

; winbind enum groups = yes

; winbind enum users = yes

winbind use default domain = yes

根据要求,以下是PAM配置的摘录:

Debian Squeeze默认,我没有改变.

root@S15:/etc/pam.d# grep 'winbind' *

common-account:account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so

common-auth:auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

common-password:password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass

common-session:session optional pam_winbind.so

common-session-noninteractive:session optional pam_winbind.so

此致,Wolfram

weixin_39715290
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux-Active-Directory-join-script:活动目录Join脚本,适用于Ubuntu,Debian,CentOS,Linux Mint,Fedora,Kali,Elementary OS和Raspbian,并为Ubuntu内置了故障检查和调试模式。 “用于Linux的GITHUB上最先进和最新的AD连接​​脚本”
02-06
Linux-Active-Directory-join-script 是一个开源项目,旨在帮助Linux用户轻松地将他们的系统集成到Windows Active DirectoryAD)环境。此脚本兼容多种Linux发行版,包括Ubuntu、Debian、CentOS、Linux Mint、...
Linux 有问必答:如何在Ubuntu或者Debian启动后进入命令行-桌面应用_Linux1
08-03
Linux系统,尤其是Ubuntu和Debian这类基于GNOME或Unity桌面环境的发行版,有时出于特定需求,比如系统维护、优化性能或者运行无图形界面的应用程序,我们可能需要在启动时直接进入命令行模式,而不是传统的桌面...
linux可以用ad管理员权限,AD管理之授权用户将计算机加入的权限
weixin_34878397的博客
05-14 629
对于我们这个行业,经常会遇到AD管理的很多问题,其部分是企业里IT管理常见的需求,部分是鲜见的奇怪需求。今天我来讲一个我们企业目前遇到的一个问题: 在AD里授权给Helpdesk人员将客户端计算机加入的权限。因为我们通常不希望给这些人员的账户太多的权限,要遵循最小权限的原则。首先微软推荐我们完成这个任务的两种途径:一、通过组策略完成:1. 打开【默认组策略】,选择【计算机配置】-【策略】-【...
linux文件夹权限设置密码,如何配置Linux 文件权限(经典详细版本: rwx<st>)
weixin_34352414的博客
05-09 190
LinuxLinux文件权限一共分为三种。本文将向读者展示如何正确配置Linux文件权限。三种特殊权限简介SUID当一个设置了SUID 位的可执行文件被执行时,该文件将以所有者的身份运行,也就是说无论谁来执行这个文件,他都有文件所有者的特权。如果所有者是 root 的话,那么执行人就有超级用户的特权了。SGID当一个设置了SGID 位的可执行文件运行时,该文件将具有所属组的特权, 任意存取整...
linux加入的配置
weixin_34107955的博客
11-01 1200
代码:cat /etc/resolv.confnameserver 192.168.5.10复制内容到剪贴板代码:cat /etc/krb5.conf [logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind....
Debian 10 加入Windows Server AD
最新发布
分享的都是纯自学心得
08-26 349
环境:一台Windows Server 主控。一台Debian 10客户机。
Debian配置LDAP服务+Samba联动
weixin_54594245的博客
05-26 648
Debian配置LDAP服务+Samba联动
samba-ad-dc-integracion-servicios:在Debian 910上将Samba4集成服务部署为Active Directory控制器(AD DC)的指南
05-20
标题 "samba-ad-dc-integracion-servicios" 提供了一个关键的线索,即本文将探讨如何在 Debian 9 ( Stretch ) 或者更新版本的系统上,将 Samba4 集成作为 Active Directory 控制器(AD DC)。这涉及到在Linux环境...
linux使用包管理器安装node.js
01-01
网上文章,在linux下安装node.js都是使用源码编译,其实node的github上已经提供了各个系统下使用各自的包管理器(package manager)安装node.js的方法。 1. 在Ubuntu,使用如下命令: 代码如下: curl -sL ...
linux_joindomain:用于Linux RHELCentOS 7和8的使用sssd自动加入Domain Active Directory的角色Ansible,用于RHELCentOS 6的Debian,Ubuntu和samba winbind
05-03
这是一个使用sssd,realm,samba和winbind自动加入Linux Machine CentOS和Redhat的角色。 此角色已在RedHat / CentOS 7.x,8.x 6.6和Ubuntu 20 18 16和Debian 10 9上进行了测试 要求 为debian服务器配置并更新了...
DebianDC:DebianDC 是一个 Active Directory 控制器发行版-开源
05-31
使用 DebianDC,您可以获得基于 Debian 的桌面环境。 里面有名为 Manager 的应用程序; 可以设置环境 可以加入现有环境 您可以使用 GUI 管理环境用户、计算机、dns 记录和活动目录环境设置。 对于DebianDC-Handbook,https://github.com/eesmer/DebianDC/blob/master/DebianDC-Handbook.md
通过AD验证登录Linux系统(Linux安装sssd加入Windows AD
只为苦逼的运维同胞在运维的道理上少踩坑。
09-10 5076
centos系列linux系统通过安装sssd服务,实现Linux加入Windows AD环境,实现通过账户登录Linux系统,实现统一认证,便于账户管理和信息安全,主要涉及安装sssd服务,配置sssd.conf、以及通过visudo命令配置sudoers文件。
Linux怎么命令加入ad,linux下加入windows ad的3种方法
weixin_42517466的博客
04-28 1170
下面是3 种linux下加入 Windows Acitve Directory 并用 AD 验证帐号的方法。假设您的环境是 AD server: server.redhat.comrealm: redhat.com方法1:该方法适用于有图形界面的环境。执行命令# system-config-authentication方法2:该方法适用于文本界面环境。执行命令# setup选择Aut...
linux ldap同步微软ad,linuxActive Directory和OpenLDAP同步
weixin_33217004的博客
05-14 813
我为一个项目做了一次 – 祝你好运!您是否具有AD服务器的管理权限?你可能需要它.与你的AD管理员交朋友:-)你能详细说明一下你的项目是什么吗?问题是,您是否只需要您的用户/应用程序对ActiveDirectory或LDAP进行身份验证,或者如果您需要应用程序访问存储在ActiveDirectory的数据,并且可能会增加或修改条目..如果您只需要进行身份验证,那么正如Justin所指出的那样,A...
linux可以用ad管理员权限,教程:为 Linux 上的 SQL Server 使用 AD 身份验证 - SQL Server | Microsoft Docs...
weixin_33121737的博客
05-14 429
教程:对 Linux 上的 SQL Server 使用 Active Directory 身份验证12/18/2019本文内容适用于:SQL Server(所有支持的版本) - Linux本教程介绍如何在 Linux 上配置 SQL Server 以支持 Active Directory (AD) 身份验证(也称为集成身份验证)。 有关概述,请参阅 Linux 上的 SQL Server 的 Ac...
整理:debian 下samba用windows 2003 AD进行身份验证成功
em's 笔记簿
12-30 200
参考:http://bbs2.chinaunix.net/thread-968948-1-1.html 前几天使用ubuntu 8.04配置不成功,后来安装了debian,配置成功了。方法如下: 按照上面的参考文档我使用了第二种方法,也就是使用winbind。 1.实现环境 Debian 4.2+Samba 3.0 + Krb5 2.软件包安装 Samba及Krb5都是用新立得安装 ...
[教程] adb root详细教程,绝对能成功,很简单!!
热门推荐
anderberte
07-12 2万+
按照我的步骤来。第一步下载ileeky同学发布的4.2.2的ADB和superuser,然后把这个文件夹:adb_4.2.2解压到C盘根目录,把superuser(不用解压) 放到adb_4.2.2 文件夹里(附件在下面)第二步:手机关机,按“音量减”和“电源”键开机,不要松开音量减键,直至屏幕出现带红三角的机器人。第三步:插入USB连接电脑,用“音量减”向下选择"Apply update fro
linux管理员权限命令
06-28
Linux管理员权限命令通常需要使用sudo命令,它可以暂时提升当前用户的权限,以便执行需要管理员权限的操作。常见的sudo命令包括: 1. sudo su:切换到超级用户(root)账户,获取完全的管理员权限。 2. sudo apt-get ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值