(原创)设置samba服务器加入win2003活动目录

xuki

本文是一篇设置samba服务器加入win2003活动目录的工作笔记 。


1.samba服务器软件需求
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2

2.配置kerberos(关键)
下面配置参数让 Kerberos 进程知道处理活动目录服务器，对 /etc/krb5.conf 做适当的修改，修改时需要注意的是 Kerberos 是大小写敏感的。
这是我的krb5.conf配置文件：
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = MYDOMAIN.COM
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MYDOMAIN.COM = {
kdc = 192.168.2.248
# admin_server = kerberos.example.com:749
default_domain = MYDOMAIN.COM
}

[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}


3.连接2003服务器

kinit filesrv@MYDOMAIN.COM

Kerberos 的 kinit 命令将测试服务器间的通信，后面的域名MYDOMAIN.COM 是你的活动目录的域名，必须大写，否则会收到错误信息：
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.

如果通信正常，你会提示输入口令，口令正确的话，就返回 bash 提示符，如果错误则报告：
kinit(v5): Preauthentication failed while getting initial credentials.

4.配置samba
修改/etc/samba/smb.conf如下几行

workgroup = MYDOMAIN
netbios name = filesrv
server string = Filesrv

realm = MYDOMAIN.COM // 活动目录服务器域名
security = ADS // 采用活动目录认证方式
encrypt passwords = yes // 采用加密的口令

重新启动samba服务
service smb restart

配置完 Samba 和 Kerberos 后，需要在 Windows 2000 活动目录下建立一个计算机帐号，如果需要在 Linux 上来完成的话，运行：
/usr/kerberos/bin/kinit filesrv@MYDOMAIN.COM
输入口令后，建立帐号：

将服务器加入活动目录：
/usr/local/samba/bin/net ads join

去 Windows 2003 服务器检查上面的工作：打开活动目录用户和计算机，查看其中的条目，如果成功的话，就可以看到你的 Linux 服务器。

然后在 Linux 机器上，你就可以采用 smbclient 命令连接到 Windows 的共享文件夹，而不需要输入口令（因为采用了Kerberos ）。
/usr/local/samba/bin/smbclient //w2k/c$ -k

这个命令可能会产生一些错误信息，但是不要紧它能工作的。

wallace888

[root@localhost etc]# kinit dlzwj@ALPHA.COM
kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library
请指点是什么原因呢?

fushuyong

哎，我对活动目录失去了信心。

xuki

用Linux做AD不太现实，特别是涉及到组策略；用来做文件服务器还不错。

lzl8146

[root@leeldap log]# kinit cai@LIZL.COM
Password for cai@LIZL.COM:
kinit(v5): Preauthentication failed while getting initial credentials

什么原因哦？

romexp

原帖由 xuki 于 2005-4-8 13:41 发表
用Linux做AD不太现实，特别是涉及到组策略；用来做文件服务器还不错。

LZ讲的不是用samba做AD功能，而是把samba做为member server ，也就是成员服务器，认证是AD服务器来做的，而不是samba
呵

Intranet

那在samba服务器上共享文件出去,设定权限时的帐号还得来源于win AD啊~~~

这样可行吗？

还是AD里的所有帐号都要汇入到samba中?

cyfgl

是的，把ad域的用户都映射成linux本地的帐号，是通过winbind实现的，具体的你可以参考一下网上的资料，明确是可以实现你所说的功能的

lanfox2006

要试试

不想在家喂猪

LZ 不地道，我遇到的问题和2楼的一样，究竟是什么原因呀？