Samba与Win2003 AD的整合

今天下午没什么事情，就看了些关于如何整合linux samba服务器和Windows AD的文章。其实就是利用linux的winbindd服务来使用Windows AD为Samba进行用户认证。自己在操作的过程中，也遇到了错误，写下来，留个念想吧，：）

 

一.环境介绍

WINDOWS 2003 SERVER + AD

域名：exchange.umtest.local

ip地址： 192.168.0.117

账户：   administrator

密码：   R0ck1t

 

REDHAT AS 4 U4 + Kerbose 5 + Samba 3 (其实都是系统默认安装上的软件包)

机器名： TSM-SC

ip地址：192.168.0.235

账户：   root

密码：   123456

 

二.开始配置

 

1. Kerberos配置

 

Win2003系统默认通过Kerberos做身份验证，Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5.conf，配置如下：

 

[logging]  default = FILE:/var/log/krb5libs.log  kdc = FILE:/var/log/krb5kdc.log  admin_server = FILE:/var/log/kadmind.log [libdefaults]  default_realm = EXCHANGE.UMTEST.LOCAL （验证域的realm，必须全部大写）  dns_lookup_realm = false  dns_lookup_kdc = false [realms]  EXCHANGE.UMTEST.LOCAL = {   kdc = 192.168.0.117:88   admin_server=192.168.0.117:749   default_domain = EXCHANGE.UMTEST.LOCAL  } [domain_realm] .exchange.umtest.local = EXCHANGE.UMTEST.LOCAL exchange.umtest.local = EXCHANGE.UMTEST.LOCAL [kdc]  profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults]  pam = {    debug = false    ticket_lifetime = 36000    renew_lifetime = 36000    forwardable = true    krb4_convert = false  }

配置完成以后，可以通过kinit工具进行测试，方法如下：

#kinit administrator@EXCHANGE.UMTEST.LOCAL

如果配置正确，就会直接返回到shell。

Samba 和 MS AD 的系统时间相差不大于5分钟， 否则会出现下面的错误：

kinit(v5): Clock skew too great while getting initial credentials

2.Samba的配置

系统默认的配置文件在/etc/samba/smb.conf,如果是从源码包安装的，会在/usr/local/etc/smb.conf。 更改配置文件如下：

[global]    workgroup = EXCHANGE               (域的NETBIOS名字）    netbios name = TSM-SC    server string = Samba Server       security = ADS                      （设置为AD验证）    realm = EXCHANGE.UMTEST.LOCAL        （验证域realm，必须大写）    password server = 192.168.0.117      (PDC,这里就是AD服务器）    encrypt passwords = yes    os level = 20    dns proxy = no    idmap uid = 10000-20000    idmap gid = 10000-20000    winbind use default domain = yes    winbind separator = /    winbind enum users = yes    winbind enum groups = yes

- idmap uid - 指定一个uid范围，该范围内的uid被用来映射UNIX用户到windows用户SID，而且要确保这个id范围内没有被本地或者NIS用户占用，winbind启动以后，也不能在该ID范围内添加用户。

- idmap gid - 指定一个gid范围，该范围内的gid被用来映射UNIX用户到windows的组SID，而且要确保这个id范围内没有被本地或者NIS组占用，winbind启动以后，也不能在该ID范围内添加新组。

- winbind separator - 指定一个字符作为分隔符，winbind将使用该分隔符来用户或组名。使用该配置将使得域用户表示为 "MYDOMAIN+username",域组被表示为"MYDOMAIN+Domain Users"

- winbind enum groups和winbind enum users - 指定winbind是否在系统上创建域的组/用户，一般情况下都要设置为yes，除非你处于某种原因希望关闭该功能

配置完成，你要将Samba加入AD中，命令如下：

#net ads join -U administrator@EXCHANGE.UMTEST.LOCAL

然后重新启动samba

#service smb restart

3. 配置NSS

Nss为Name Service Switch，控制帐号的验证。编辑/etc/nsswitch.conf,如下

passwd: files winbind group: files winbind

配置完成，启动winbind服务，

#winbindd

4. 确认Samba主机帐号在AD中正确注册

使用wbinfo –t验证Samba主机已成功加入AD

# wbinfo –t checking the trust secret via RPC calls succeeded 说明主机信任已成功建立

如果得到如下的信息，重新运行一下#winbindd就可以解决

#wbinfo -t checking the trust secret via RPC calls failed error code was (0x0) Could not check secret

使用wbinfo –u 可以列出AD中注册的帐号信息。Wbinfo –g可以返回AD中的组信息。

用getent passwd 和getent group你可以看到本地服务器及域服务器上所有的用户及组的信息。

好了，到这里你访问samba服务器时，就需要正确输入域名了，形如：EXCHANGE\rwang,输入正确，就可以访问了。

饿死了，胃疼，还是先闪人了，以后再慢慢学习，添加新的东西。

5.解决访问samba时,个人目录的问题

在samba的配置文件中加入如下内容：       

[global]    template homedir=/homes/%D/%U [homes]    comment = Home Directories    path=/homes/%D/%U    valid users=%U    browseable = no    writable = yes

然后，逐个为用户建立目录并分配权限（这一步是比较麻烦），我们的域是EXCHANGE，为用户hrwang建立目录，方法如下

#mkdir -p /homes/EXCHANGE #cd /homes/EXCHANGE #mkdir hrwang #chown "EXCHANGE\hrwang":"EXCHANGE\domain users" hrwang

好了，用service smb restart 重启samba服务，再登陆samba服务器，可以看到除了其它共享的目录外，还有一个自己的目录，而且可以写。