CentOS7.6 Samba使用AD域控认证(winbind),亲测有效。

centos7:

https://www.freesion.com/article/44621398696/

cetnos6

https://blog.51cto.com/icedot/1293327

本文档参考上面技术文档

由于公司信息保密,测试机信息和AD服务器信息保密,使用test.com替代,网段IP也是替代

一、测试机:centos 7.6

主机名:study.test.com

IP: 192.168.10.10

使用VMWARE的桥接模式

二、AD域控:windows server 2016

主机名:gd

域名:test.com

IP:192.168.10.20

下面是操作步骤

一、安装需求套件及关闭防火墙和selinux

yum install -y samba samba-common samba-client samba-winbind* krb5-workstation ntpsystemctl stop firewalld
setenforce 0

二、设置开机启动

systemctl enable smb
systemctl enable winbind

三、修改hosts文件

vim /etc/hosts

在下面添加AD域控的IP和主机名

192.168.10.20 gd gd.test.com

四、在/etc/hosts

127.0.0.1 study study.test.com

五、添加DNS地址,网卡配置文件添加。

vim /etc/sysconfig/network-scripts/ifcfg-ens32
DNS1=192.168.10.20  #一般跟AD的地址一样

六、编制/etc/resolv.conf配置文件

search test.com          #域名
nameserver 192.168.10.20 #AD的DNS
nameserver *.*.*.*       #加域时的DNS,本人公司有,视个人公司情况添加

注:一般在公司网络条件下,虚拟机选择桥接模式,/etc/resolv.conf会自动配置公司的AD服务器的DNS,此时检查一下是否与公司内一致即可。

七、设置主机名

hostnamectl set-hostname study.test.com

八、用setup命令来快速设置winbind

setup

此处参考https://www.freesion.com/article/44621398696/的图片

九、设置samba

[global]workgroup = BAONENGMOTORpassword server = bqszad0002.baonengmotor.comrealm = BAONENGMOTOR.COMsecurity = domainidmap config * : range = 16777216-33554431template shell = /bin/bashkerberos method = secrets onlywinbind use default domain = falsewinbind offline logon = falseencrypt passwords = yeswinbind enum users = yeswinbind enum groups = yestemplate homedir = /home/%U#--authconfig--end-line--
;       workgroup = SAMBA
;       security = userpassdb backend = tdbsamprinting = cupsprintcap name = cupsload printers = yescups options = raw
[share]comment = Share Directoriespath = /sharepublic = yes
;       valid users = %Ubrowseable = yeswritable = yescreate mask = 0664directory mask = 0775

其它[homes]、[printers]保持默认不变

十、设置nsswitch

vim /etc/nsswitch.conf找到以下三行并将winbind移至sss前面
passwd: files winbind sss
shadow: files winbind sss
group: files winbind sss

十一、设置kerberos

vim /etc/krb5.conf[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]dns_lookup_realm = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = truerdns = falsepkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
# default_realm = EXAMPLE.COMdefault_ccache_name = KEYRING:persistent:%{uid}default_realm = TEST.COM                 <-----------域名,必须大写
[realms]TEST.COM = {                             <-----------域名,必须大写kdc = 192.168.10.20                     <-----------AD服务器的IPadmin_server = 192.168.10.20            <-----------AD服务器的IP}#注:上面还有default选项,注释掉。[domain_realm]               .test.com = TEST.COM                    <-----------域名,必须大写test.com = TEST.COM                     <-----------域名,必须大写

测试

kinit admin@test.com#admin是AD的管理员账号,不一定要是administrator,其它具有域控管理权限的账号也可以。
#输入上面命令后,会提示输入admin密码,输入密码后回到shell,代表kerberos配置成功。

十二、加域及验证,其中administrator是域控管理员账号,其它具有域控管理权限账号也行

net ads join -U administrator
出现以下提示
Using short domain name -- TEST
Joined 'STUDY' to realm 'test.com'
No DNS domain configured for pmsamba. Unable to perform DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER
并不表示加域成功,需要用到下面命令验证。wbinfo -t
出现如下则表示加域成功
checking the trust secret for domain TEST via RPC calls succeeded

十三、重启smb和winbind

systemctl restart smb
systemctl restart winbind

此时在运行里输入\192.168.10.20,会提示输入账号和密码对话框,使用AD域账号登录就可以。

十四、关于加域错误提示

参考以下技术文档

https://blog.51cto.com/icedot/1293327

上面技术档以centos6为测试机,但原理都是一样。

2021-07-22 CentOS7.6 Samba使用AD域控认证(winbind),亲测有效。相关推荐

  1. Samba通过ad域进行认证并限制空间大小《转载》

    本文实现了samba服务被访问的时候通过windows域服务器进行用户名和密码验证;认证通过的用户可以自动分配500M的共享空间;在用户通过windows域登陆系统的时候可以自动把这块空间映射成一块硬 ...

  2. 【逗老师带你学IT】Windows Server NPS服务构建基于AD域控的radius认证

    目录 一.Windows Server Network Policy Service(NPS)安装 1.添加角色和功能 2.安装网络策略和访问服务 二.Windows NPS配置 1.NPS服务器加域 ...

  3. 2021.07.22禾赛提前批一面面经

    2021.07.22禾赛提前批一面面经 1.LUTRAM的意思 2.LUTRAM和block RAM的区别 3.时序约束和时序优化 4.跨时钟域 5.为什么不能多bit采用同步寄存器打两拍(就这个问题 ...

  4. WINDOWS SERVER 2003 R2 AD域控安装过程实践

    实验目的: 通过安装AD域控服务器,以实现对局域网中用户主机的权限.密码集中管理. 实验环境: 通过VMware 虚拟一台windows server 2003 服务器作为AD域控服务器,IP地址为[ ...

  5. AD域控的搭建与加入AD域

    最近公司要加AD域提前使用虚拟机尝试尝试,忽略细节. 环境准备:一台Windows server 2008 r2服务器,一台Windows 7 打开Windows server 2008 r2选择管理 ...

  6. 通过Windows10管理AD域控

    有域控环境,要维护管理域控,一般都是直接在AD域控上操作,或者是远程到AD域控的服务器,有没有办法直接在windows10的电脑上操作管理域控呢?答案是肯定的,微软给我们提供一个插件:win10: W ...

  7. Java实现AD域登录认证

    最近公司派遣去乙方公司做项目开发,之前做好了的登录模块,按理来说是可以完全复用的,但是乙方客户提出要求,要用AD域登录认证的方式进行登录我们开发的Java Web系统,于是上网搜集了相关的资料,并运用 ...

  8. Windows server服务篇1:Windows Server 2012R2 AD域控 辅助域 只读域 子域

    Windows Server 2012R2 域与活动目录介绍 域与活动目录 什么是域 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relati ...

  9. Windows Server AD域控服务器升级/迁移(AD域控的五大角色转移)

    Windows Server AD域控服务器升级/迁移(AD域控的五大角色转移) 新域控服务器安装 配置域控服务器,加入现有域 域控角色迁移到新域控服务器 原域控服务器降级退域 本文主要介绍在现有域环 ...

最新文章

  1. python画横条形图-用matplotlib画条形图(bar)
  2. win10使用虚拟光驱安装vcenter6.7
  3. 2021暑假生产实习【SSM实习项目-超市积分管理系统】博客汇总表
  4. web前端学习文档 电子版_web前端小白系统入门学习
  5. java中数组的返回值是什么类型_Java数组也是一种数据类型
  6. Python案例:按键测试
  7. 电商设计师抢着用的液态水滴素材到底有多酷!
  8. html中md5如何使用方法,html中使用js進行登錄md5加密提交並重定向新頁面
  9. 网络攻防实验(五)——201521460003王浩洋
  10. SUMO与各类软件的联合仿真方法
  11. 《东周列国志》第九十回 苏秦合纵相六国 张仪被激往秦邦
  12. (七) 三维点云课程---ICP(Point-to-Point)
  13. 记录一个可以word,xls,PDF互转思维导图的工具
  14. JESD204B学习之关键点问答
  15. 耳机降噪技术-ANC、ENC、DSP、CVC
  16. 离线安装mumu模拟器的方法
  17. ISA TEST黑客过关小游戏第二关解密
  18. 专访Barefoot:被Intel收购后的五倍爆发力
  19. SPSS实现系统聚类
  20. 2k的地址范围 计算机组成原理,计算机组成原理课后习题

热门文章

  1. Flink(八)Flink的Parallelism并行度
  2. 【CYH-02】NOIp考砸后虐题赛:成绩:题解
  3. Javascript中的every()与some()的区别和应用
  4. u3d 巧用 CaptureScreenshot捕捉游戏画面(截图,截屏)
  5. iamsujie.com活了一年了
  6. 数据结构与算法Day5
  7. Linux的tty架构及UART驱动详解
  8. 腾讯云基础认证是什么?多少分通过?
  9. UGUI内核大探究(十一)ScrollRect与ScrollBar
  10. 第二周总结(2018-03-05~2018-03-09)