linux通过ldap得到windowsAD的认证 请教思路如何配置samba配置文件服务器

sandyzd0147

各位大神你们好，小弟初来咋到，先给大家拜个年。年前一直在研究AD和samba的整合，首先AD2008有NIS这个功能，即可以作为一个验证储存账号密码的服务器，在linux上通过ldap连接ad2008，再在pam中添加验证可以使域账户完美的登入到系统，现在想通过linix彻底取代之前的基于windows的文件服务器

具体配置我是通过http://blog.nekobe.tw/?p=612来进行的配置
通过getent password以及getent group 已经成功将ldap上的用户和组信息挂载上去了，但是这些并不是系统账户也不是samba的账户，我接下来应该如何配置samba，现在每个域用户只要在unix attributes下添加相应的uid和登入属性就可以直接在网络共享中访问到linux下以自己用户名为名称的文件夹，权限没有任何问题，现在我想在linux下创建一个文件夹，让ad里面的组成员都可以访问到此文件夹，具体应该怎么配置，请大神帮忙，多谢了！

sandyzd0147

大神们，有没有好的建议啊
[tech@NIS ~]$ getent group
root:0:
bin:1:bin,daemon
daemon:2:bin,daemon
sys:3:bin,adm
adm:4:adm,daemon
tty:5:
disk:6:
lp:7:daemon
mem:8:
kmem:9:
wheel:x:10:
mail:x:12:mail,postfix
uucp:x:14:
man:x:15:
games:x:20:
gopher:x:30:
video:x:39:
dip:x:40:
ftp:x:50:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
dbus:x:81:
utmp:x:22:
utempter:x:35:
rpc:x:32:
named:x:25:
usbmuxd:x:113:
avahi-autoipd:x:170:
abrt:x:173:
pegasus:x:65:
cimsrvr:x:500:
bacula:x:133:
haclient:x:499:
floppy:x:19:
vcsa:x:69:
desktop_admin_r:x:498:
desktop_user_r:x:497:
rtkit:x:496:
cdrom:x:11:
tape:x:33:amandabackup
dialout:x:18:
apache:x:48:
saslauth:x:76:
postdrop:x:90:
postfix:x:89:
cgred:x:495:
tss:x:59:
mysql:x:27:
rpcuser:x:29:
nfsnobody:x:65534:
ricci:x:140:
haldaemon:x:68:haldaemon
ntp:x:38:
memcached:x:494:
avahi:x:70:
pulse:x:493:
pulse-access:x:492:
stapusr:x:156:
stapsys:x:157:
stapdev:x:158:
fuse:x:491:
gdm:x:42:
tomcat:x:91:
stap-server:x:155:
piranha:x:60:
pkcs11:x:490:
sshd:x:74:
quaggavt:x:85:
quagga:x:92:
arpwatch:x:77:
luci:x:141:
ident:x:98:
ldap:x:55:
dhcpd:x:177:
radvd:x:75:
tcpdump:x:72:
radiusd:x:95:
screen:x:84:
oprofile:x:16:
slocate:x:21:
nscd:x:28:
Unix Users:*:10000:glfccq,tech
it:*:10001:
testgroup:*:10002:test1

[tech@NIS ~]$ getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0perator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/cache/rpcbind:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
avahi-autoipd:x:170:170:Avahi IPv4LL Stack:/var/lib/avahi-autoipd:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin
pegasus:x:66:65:tog-pegasus OpenPegasus WBEM/CIM services:/var/lib/Pegasus:/sbin/nologin
cimsrvr:x:499:500:tog-pegasus OpenPegasus WBEM/CIM services:/var/lib/Pegasus:/sbin/nologin
bacula:x:133:133:Bacula Backup System:/var/spool/bacula:/sbin/nologin
hacluster:x:498:499:heartbeat user:/var/lib/heartbeat/cores/hacluster:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rtkit:x:497:496:RealtimeKit:/proc:/sbin/nologin
apache:x:48:48:Apache:/var/www:/sbin/nologin
saslauth:x:496:76:"Saslauthd user":/var/empty/saslauth:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
amandabackup:x:33:6:Amanda user:/var/lib/amanda:/bin/bash
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
mysql:x:27:27:MySQL Server:/var/lib/mysql:/bin/bash
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ricci:x:140:140:ricci daemon user:/var/lib/ricci:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
memcached:x:495:494:Memcached daemon:/var/run/memcached:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
pulse:x:494:493ulseAudio System Daemon:/var/run/pulse:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
tomcat:x:91:91:Apache Tomcat:/usr/share/tomcat6:/sbin/nologin
stap-server:x:155:155:Systemtap Compile Server:/var/lib/stap-server:/sbin/nologin
piranha:x:60:60::/etc/sysconfig/ha:/sbin/nologin
sshd:x:74:74rivilege-separated SSH:/var/empty/sshd:/sbin/nologin
quagga:x:92:92uagga routing suite:/var/run/quagga:/sbin/nologin
arpwatch:x:77:77::/var/lib/arpwatch:/sbin/nologin
luci:x:141:141:luci high availability management application:/var/lib/luci:/sbin/nologin
ident:x:98:98::/:/sbin/nologin
ldap:x:55:55:LDAP User:/var/lib/ldap:/sbin/nologin
dhcpd:x:177:177HCP server:/:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
radiusd:x:95:95:radiusd user:/home/radiusd:/sbin/nologin
oprofile:x:16:16:Special user account to be used by OProfile:/home/oprofile:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
nslcd:x:65:55:LDAP Client User:/:/sbin/nologin
tech:*:10000:10000:tech:/home/tech:/bin/bash
glfccq:*:10003:10000:glfccq:/home/glfccq:/bin/bash
test1:*:10005:10001:test1:/home/test1:/bin/bash

3个用户 3个组 都是windows下的 如何设置samba 达到tech和glfccq以及组Unix Users访问1个文件夹 test1以及testgroup访问另外一个文件夹呢？？？？

a505887004

啊哈~~~~~~~

yagamixp

是不好搞定的,我很久之前一直想完成你的这个任务,但是一直没有成功过~

sandyzd0147

回复 4# yagamixp
不会没办法吧。。。。我觉得windows AD 2008 已经拥有NIS的功能了，而且其与linux之间的密码同步是非常迅速的：

我知道samba在linux平台上的NIS和openldap是完美支持的，难道在win平台下就无法支持吗，现在其实已经很接近了，ad上面的组和用户可以挂载出来，并且域用户可以登录系统，只是结合samba来分配权限就有点问题，难道必须还是只有用winbind来实现吗？？？
   

forestiger

这个问题我也一直在研究，没有结果，希望有大牛能指点一二。
我不想用winbind，因为用它需要加入AD域，只想用它验证Linux，samba认证登录。

yagamixp

反个方向试试,我都不想去试了,不过用openfiles试过可以同步用户,,呵器械

whliwenlong

楼主，你知道getent passwd和getent group可以获取到AD域的账户映射信息是修改什么配置文件得到的吗？/etc/nsswitch.conf文件我已经改过了，我三台samba想要都加入域，但是一直都只有一台机器成功获取到映射信息

woxizishen

个人意见仅供参考
1.如果下面的windows客户端电脑较多，建议AD还是老老实实的用windows自己的AD。什么原因，小编有测试过Linux的samba用来做PDC，发现windows下面的客户机通过该PDC确实是可以用，但是经常会有些奇形怪状的问题，虽然能解决掉，小编测试了机台果断就放弃了。

2.建议你还是把linux的samba加入到windows的AD域里去，那样问题反而简单多了，真的建议不要用linux的samba做PDC，来提供windows相关账号登陆的验证。

whliwenlong

对呀，我就是把samba加入到AD域的啊，但是只有一台成功了，剩下的两台虽然加入了域，但是获取不到域账户的映射信息，所以没什么用，我设置权限都设置不了（getent passwd 和getent group只能查看到本地的信息）

woxizishen 发表于 2015-07-27 20:02
个人意见仅供参考
1.如果下面的windows客户端电脑较多，建议AD还是老老实实的用windows自己的AD。 ...