测试环境：操作系统：redflagDC4.1 samba版本:samba-3.0.2a-9AX ip：172.16.100.2

(注意，一定要使用比较“干净”的DC4.1环境，就用自带的samba也可以成功，我们之前的测试因为操作系统已经被别人做过配置，所以换了好几个版本的samba都不行，不得已后来重新安装DC4.1，配置就很顺利了。)

PDC控制器：windows2000Server 测试域名tail 主机名pig ip:172.16.100.1

测试DNS ：windows2000Server 主机名pig (与PDC为同一台服务器)

测试过程：

一、准备工作：

配置windows2000Server为PDC，建立tail域，配置能够解析 tail 域的DNS，并用window2000或者windows98和客户端使用该DNS，能够正确登录windows2000Server的PDC域。

二、配置winbindd服务连接PDC抓到的域内的用户和组信息：

1、修改nsswitch.conf文件：

vi /etc/nsswitch.conf

做如下修改，使winbind成为passwd及group的认证信息源

passwd: files winbind

shadow: files

group: files winbind

2、配置DC4.1的DNS客户端文件：

vi /etc/resolv.conf

加上nameserver 172.16.100.1

ping一下pig.tail，确保可以连通

3、vi smb.conf，确保[global]段设置中有下面几行：

[global]

workgroup = TAIL

netbios name = rfdc41

server string = Samba Server

security = domain

password server = pig.tail

preferred master = no

domain master = no

domain logons = no

idmap uid = 10000-20000

idmap gid = 10000-20000

template shell = /bin/bash

template homedir = /home/%D/%U

winbind separator = %

winbind use default domain = Yes

idmap uid和idmap gid是设置winbind把win200x域用户、组map成本地用户、组所使用的ID号范围，如果用户很多，可以加大这两个值之间的差。

Template homedir是用户登录后的主目录，我设置成/home/域名/用户名。

Template shell是用户登录后的shell，如果你想用PDC给你的sshd做认证，就可以加上这个，给用户一个登录shell。

winbind separator是获取帐号的时候，域名与用户名之间的分隔符，比如tail%work

winbind use default domain设置它为yes是在显示的时候屏蔽掉域名与用户名之间的分隔符，否则用户在登录linux系统的时候，就要很烦琐地键入类似tail%work这样的用户名了。

5、用samba的net join命令把这台机器加入到windows200x域中(samba3.0以上的版本可以支持)

net rpc join -S pig.tail -U Administrator

然后输入域管理员密码，也就是Administrator的密码。

6、启动samba服务和winbindd服务

#service smb start

#service winbind start

7、用wbinfo命令查看用winbindd服务连接PDC抓到的域内的用户和组的信息

wbinfo -u

可以看到类似如下winbind抓取到的PDC用户信息：

Administrator

Guest

huaijinyang

jack

krbtgt

laohuai

user1

user2

user3

user4

user5

work

再执行：

wbinfo -g

可以看到类似如下winbind抓取到的PDC组信息：

BUILTIN%System Operators

BUILTIN%Replicators

BUILTIN%Guests

BUILTIN%Power Users

BUILTIN%Print Operators

BUILTIN%Administrators

BUILTIN%Account Operators

BUILTIN%Backup Operators

BUILTIN%Users

Domain Admins

Domain Users

Domain Guests

Domain Computers

Domain Controllers

Cert Publishers

Schema Admins

Enterprise Admins

Group Policy Creator Owners

DnsUpdateProxy

zzz

8、检查PDC用户(组)转换为本地用户(组)UID和GIU情况：

getent passwd

显示将PDC用户转换成系统用户的UID情况，显示最后类似如下信息：

Administrator:x:10000:10000::/home/TAIL/Administrator:/bin/bash

Guest:x:10001:10000::/home/TAIL/Guest:/bin/bash

huaijinyang:x:10002:10000:huai:/home/TAIL/huaijinyang:/bin/bash

jack:x:10003:10000:jack:/home/TAIL/jack:/bin/bash

krbtgt:x:10004:10000::/home/TAIL/krbtgt:/bin/bash

laohuai:x:10010:10000:laohuai:/home/TAIL/laohuai:/bin/bash

user1:x:10005:10000:user1:/home/TAIL/user1:/bin/bash

user2:x:10006:10000:user2:/home/TAIL/user2:/bin/bash

user3:x:10007:10000:user3:/home/TAIL/user3:/bin/bash

user4:x:10008:10000:user4:/home/TAIL/user4:/bin/bash

user5:x:10011:10000:user5:/home/TAIL/user5:/bin/bash

work:x:10009:10000:work:/home/TAIL/work:/bin/bash

PDC用户Administrator的UID从10000开始。

getent group

显示将PDC用户转换成系统用户的GID情况，显示最后类似如下信息：

Domain Admins:x:10003:Administrator

Domain Users:x:10000:Administrator,Guest,krbtgt,work,jack,user1,user2,user3,user4,huaijinyang,user5,laohuai

Domain Guests:x:10005:Guest

Domain Computers:x:10006:CALL-CENTER$,hjy$,localhost$,lishen$,HUAIJINYANG$,smb1$,rfas41$,lux$

Domain Controllers:x:10007:PIG$

Cert Publishers:x:10008:

Schema Admins:x:10002:Administrator

Enterprise Admins:x:10004:Administrator

Group Policy Creator Owners:x:10001:Administrator

DnsUpdateProxy:x:10009:

zzz:x:10010:

BUILTIN%System Operators:x:10011:

BUILTIN%Replicators:x:10012:

BUILTIN%Guests:x:10013:

BUILTIN%Power Users:x:10014:

BUILTIN%Print Operators:x:10015:

BUILTIN%Administrators:x:10016:

BUILTIN%Account Operators:x:10017:

BUILTIN%Backup Operators:x:10018:

BUILTIN%Users:x:10019:

PDC组Users 的UID从10000开始。

能够看到这样的信息，表示配置工作已经完成了大半，winbind服务已经在正常工作了。

这里有一点需要注意，如果在PDC域中新建了用户或者为某个用户修改了密码，需要重新刷新samba服务和winbind服务，过程如下：

service smb stop

service winbind stop

rm -f /etc/samba/*.tdb

rm -f /var/cache/samba/*.tdb

net rpc join -S pig.tail -U Administrator

service smb start

service winbind start

才能重新抓取到PDC的更新信息。

9、建立用户的登录主目录

samba的配置文件中指定了template homedir的路径，我们先要建立这个目录

mkdir /home/TAIL

注意PDC域名要大写！

三、配置PDC用户登录的pam认证

1

、备份原来的pam认证文件

mkdir /home/backup

cp /etc/pam.d/login /home/backup

cp /etc/pam.d/system-auth

2、修改login文件

vi /etc/pam.d/login

这个文件最后一句是

session    optional     pam_console.so

在这句后面加上

session    required     pam_mkhomedir.so skel=/etc/skel umask=0022

3、修改system-auth文件

vi /etc/pam.d/system-auth

a、找到以“auth”字符串开头并调用“pam_unix.so”的语句，如下：

auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok

在这一句最后加上字符串“use_first_pass”,如下：

auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok  use_first_pass

然后在这一句上面加上语句：

auth        sufficient    /lib/security/pam_winbind.so

b、找到以“account”字符串开头并调用“pam_unix.so”的语句，如下：

account     required      /lib/security/$ISA/pam_unix.so

在这一句最后加上字符串“use_first_pass”,如下：

account     required      /lib/security/$ISA/pam_unix.so use_first_pass

然后在这一句上面加上语句：

account     sufficient    /lib/security/pam_winbind.so

四、用PDC用户登录测试

在linux中某个终端以PDC用户登录，能够看到$提示符，说明配置完成。

相关日志