實驗環境
Windows Server 2008 AD : mike.lohas.com , IP: 192.168.0.199
CentOS 5.5(winbind) : 利用samba,winbind向Windows Server 2008 AD 帳號驗證Kerbros
實驗目標
將 CentOS 5.5(主機名稱:winbind) 加入AD網域,並安裝VSFTP套件,我們將利用網域帳號
測試登入與存取VSFTPD是否可能(若OK,日後僅需在AD上建立統一帳號管理異質平台服務)
益處: 減少網路架構中分散帳號管理不易,統一集中由AD管理Server服務帳號即可
寫入 winbind 對應IP & mike.lohas.com 對應IP #AD Domain & IP
vi /etc/samba/smb.conf
workgroup = lohas # lohas.com 最左邊"lohas"
server string = Samba Server Version %v
netbios name = winbind #填入centos 5.5 這台 netbios
security = ads #填入ads 網域驗證
password server = mike.lohas.com #填入AD Server FQDN
winbind separator = +
idmap uid = 10000-20000 #填入網域帳戶uid & gid 起與終範圍
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
nt acl support = yes #nt acl support
winbind cache time = 0
template shell = /bin/bash
template homedir = /home/%U #網域的home目錄路徑
winbind use default domain = yes
server string = Samba Server Version %v
netbios name = winbind #填入centos 5.5 這台 netbios
security = ads #填入ads 網域驗證
password server = mike.lohas.com #填入AD Server FQDN
winbind separator = +
idmap uid = 10000-20000 #填入網域帳戶uid & gid 起與終範圍
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
nt acl support = yes #nt acl support
winbind cache time = 0
template shell = /bin/bash
template homedir = /home/%U #網域的home目錄路徑
winbind use default domain = yes
(2.) vi /etc/krb5.conf #修改的部分,請參照反綠字體,注意大小寫
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = LOHAS.COM #修改為LOHAS.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
default_realm = LOHAS.COM #修改為LOHAS.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms] #修改為LOHAS.COM
LOHAS.COM = {
kdc = mike.lohas.com:88 #kdc=mike.lohas.com:88
admin_server = mike.lohas.com:749 #admin_server=mike.lohas.com:88
default_domain = lohas.com #default_domain = lohas.com
}
LOHAS.COM = {
kdc = mike.lohas.com:88 #kdc=mike.lohas.com:88
admin_server = mike.lohas.com:749 #admin_server=mike.lohas.com:88
default_domain = lohas.com #default_domain = lohas.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = LOHAS.COM
.example.com = EXAMPLE.COM
example.com = LOHAS.COM
........
(3.) vi /var/kerberos/krb5kdc/kdc.conf #修改的部分請參照綠色字體
[realms]
LOHAS.COM = {
#master_key_type = des3-hmac-sha1
acl_file = /var/kerberos/krb5kdc/kadm5.acl
.................
#master_key_type = des3-hmac-sha1
acl_file = /var/kerberos/krb5kdc/kadm5.acl
.................
}
(4.) 測試samba與kdc溝通是否OK
(5.) 讓CentOS 5.5 加入 AD
shell> service smb restart
shell> net rpc join -U administrator #加入AD已OK
我們回到Windows AD使用者與電腦 來檢視: 下圖可看出Winbind (CentOS 5.5
成功加入Windosw Server 2008 AD)
成功加入Windosw Server 2008 AD)
(6.) vi /etc/nsswitch.conf #修改Linux 驗證使用者帳號與密碼方式為winbind
passwd: files winbind
shadow: files winbind
group: files winbind
(7.) 於 CentOS 5.5 利用wbinfo -u 檢視是否已成功截取到AD 帳號資料(已成功截取)
我們也可以利用 getent passwd 查看比較符合linux 帳號呈現方式(網域帳號UID建立
皆是從10000 開始建立)
皆是從10000 開始建立)
shell> getent passwd
(8.) 執行 authconfig-tui 並將 Use Winbind 與 Use Winbind Authentication 勾選 即可
(9.) 測試VSFTPD 服務測試是否可由VSFTPD 帳號經過AD 帳戶與密碼驗證,最後並可
存取VSFTPD服務
存取VSFTPD服務
vi /etc/pam.d/vsftpd
加入以下兩行
auth sufficient pam_winbind.so
account sufficient pam_winbind.so
account sufficient pam_winbind.so
修改 vsftpd.conf 讓網域使用者僅可在自家目錄存取
vi /etc/vsftpd/vsftpd.conf
插入以下此行,修改完成請重啟
chroot_local_user=YES
編寫 mkhome.awk , 自動擷取網域帳戶,並建立相對應目錄(許多Linux Server 服務
使用到/home目錄vsftpd亦不例外)
使用到/home目錄vsftpd亦不例外)
#!/bin/awk
BEGIN{
FS=":"
uidmin=10000
uidmax=20000
uidmax=20000
}
{
if ( $3 >= uidmin && $3 <= uidmax) {
print "\nmake directory " $6 "\nchown " $3 "." $4 " " $6
system( "mkdir -p " $6 "; chown " $3 "." $4 " " $6 )
}
}
}
編寫mkhome.awk 後 執行以下Command
shell> getent password | awk -f mkhome.awk #下圖已可詳見建立目錄動作
shell> ls -al /home #網域帳戶對應加目錄已建設OK
最後利用網域帳戶keynes 登入VSFTPD ,並測試檔案上傳
測試上傳 topoto.vsd 檔案已成功,Windows Server 2008 AD 帳號驗證整合Linux
服務已大成功
服務已大成功
LAB 參考資料
恆逸資訊Linux 部分上課筆記
Linux 與windows 共舞異質平台整合方案/旗標/施威銘工作室
全站熱搜
留言列表
