使用Active Directory验证Linux系统帐号

mjwdj

Likewise Open 是一个Linux、Unix、Mac OS 下的应用程序用来将这些系统的机器加入到 Windows 活动目录的安全认证工具。
可以到官方网站下载最新的软件包。
http://www.likewise.com/
下载文件
点击这里下载文件
以root执行自解压文件：
# sh LikewiseIdentityServiceOpen-5.3.0.7707-linux-i386-rpm.sh
根据提示完成安装，非常简单；安装完成后用下面命令将主机加入windows域：
# /opt/likewise/bin/domainjoin-cli join domainName ADjoinAccount
例如，要加入mjwdj.com域，dwang是具有将主机加入到mjwdj.com域的帐号。则执行
# /opt/likewise/bin/domainjoin-cli join mjwdj.com dwang
输入dwang的密码后，主机成功加入域。
别忙着用域帐号登录，下面修改配置文件：
第一步，修改shell：
# vi /etc/likewise/lsassd.conf
找到两行：login-shell-template = /bin/sh
全都改为：login-shell-template = /bin/bash
注：配置文件中“login-shell-template = /bin/sh”有2行，分别指定域帐号和“本地帐号”所使用的shell。这里的本地帐号不是指linux系统中的本地帐号，而是likewise里自动生成的“HOSTNAME\Administrator”和“HOSTNAME\Guest“帐号。
第二步，修改home目录：
# vi /etc/likewise/lsassd.conf
找到两行：homedir-template = %H/local/%D/%U
全都改为：homedir-template = %H/%U
注：同上面一样，两行配置文件分别对应域帐号和“本地帐号”。
第三步，修改用户名：
# vi /etc/likewise/lsassd.conf
找到行：# assume-default-domain = yes
改为：assume-default-domain = yes
# vi /etc/likewise/lsassd.reg
找到行："AssumeDefaultDomain"=dword:00000000
改为："AssumeDefaultDomain"=dword:00000001
第四步，修改group验证方式（可略过）：
因为我的linux系统里已经存在大量用户帐号和组帐号，且和windows系统的组有很大区别，所以暂时还是希望以linux的group来限定用户权限。
# vi /etc/nsswitch.conf
找到行：group: files lsass
改为：group: files
关于如何同步linux的group文件有很多方法，比如rsync工具，scp命令等，可以参考我的其他文章。
最后重新启动主机，用域帐号登录即可。
因为我的系统是在linux下已经存在很多项目和用户，最后将系统中原来用户的属主改为windows里的帐号的权限将是一件非常痛苦的事情，但毕竟是一劳永逸的，只能辛苦一阵了。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/13902/showart_2186139.html