- 论坛徽章:
- 0
|
原帖由 cyberdna 于 2005-7-7 09:01 发表
微软推出的ADAM是不是可以做到。
普通的postfix+ldap的方法不行,因为这里面涉及到kerberos的因素。
尝试用postfix+pam+winbind实现,
有没有人做过?
在红帽企业版Linux 3系统上怎样配置pam.winbind.so,使得用户可以使用域用户名和密码登陆系统?
解决方法:
声明:
以下信息由Red Hat提供,但是已经超出标准服务协议(SLA)的范围(http://www.redhat.com/support/service/sla/)和支持流程.这篇文章提供的任何配置设定或者安装应用的信息将使得你的系统不再得到Red Hat支持服务。本文的目的是提供你实现系统需求所需要的信息,风险自负。
在服务器PAM的配置中加入pam_winbind.so将使你的服务器和域紧密整合在一起. 网络用户使用相同的域帐号认证,在服务器上可以得到相同的home目录,不管他们怎样登陆服务器(例如:本地控制台登陆,ssh,ftp等)
警告和假设
假设系统管理员已经掌握PAM配置文件的使用,并且了解在服务器所在的环境当中,服务器认证配置需要那些其他类型的用户信息和用户认证. 以下提供的例子是基于一个只使用本地的和Winbind列举的域用户,作为用户信息或者用户认证的系统。
以下步骤包括手工编辑服务器主要PAM认证配置文件/etc/pam.d/system-auth.在做任何改变之前,你应当备份一下 /etc/pam.d/system-auth,并且保持一个root登陆窗口,以防止因输入错误或者配置错误时可以恢复到原先的system-auth 文件.记住,运行认证配置工具,例如authconfig,会有可能造成手工在system-auth做的更改丢失.所以在更改了system-auth 文件并且测试成功后应当做一个更改后的备份.
总的来说,如果服务器使用winbind服务去列出域用户和组,使用pam_winbind.so去允许系统认证域用户,服务器就应当没有其他认证用户信息,或者在authconfig中启用指向同一个域用户的认证源(Kerberos, LDAP)。换句话说,别配置你的服务器同时使用Winbind和LDAP指向同一Active Directory中的用户.
我们也假设winbind服务已经正常的配置,并且在系统上正常运行.参考Knowledgebase其他关于Winbind配置细节的文章,以了解在Samba服务器上怎样配置Winbind,怎样从域控制器上创建用户和组.
配置文件举例:
下面是/etc/pam.d/systerm-auth的一个例子,可以允许域用户通过任何使用PAM的system-auth配置文件的服务,登陆到服务器:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so broken_shadow
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_winbind.so
account required /lib/security/$ISA/pam_permit.so
password required /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_authtok
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
域用户名的正确格式
用户名必须符合指定的正确格式,以便于Winbind能够正确识别域和用户名的组成部分.假设在smb.conf中,winbind已经被配置成knowledgebase前一片文章提到的那样,定义了winbind 分割符, winbind use default domain=no。 使用winbind use default domain=yes是有问题的,并不推荐或者不支持。
也就是说,正确的用户名格式应当是DOMAIN+username。 DOMAIN是域名的简写(例如,不是Active Directory域名的全名,如果那是一个2000或者2003的DC), 加上winbind分隔符,加上用户名。所有的以PAM方式登陆服务器,用户需要以这样的格式提供他们的用户名。
当所有的配置已经完成并且保存,你将可以使用域用户帐号(以上面提到的格式)登陆服务器。
Red Hat Enterprise Linux AS release 3 (Taroon Update 4)
Kernel 2.4.21-27.0.2.ELsmp on an i686
samba1 login: DOMAIN+testuser
Password:
Last login: Thu Apr 7 12:47:43 on tty1
[DOMAIN+testuser@samba1 testuser]$
注意:如果用户的home目录没有被创建或者没有在正确的地方创建,你将会看到以下信息:
Red Hat Enterprise Linux AS release 3 (Taroon Update 4)
Kernel 2.4.21-27.0.2.ELsmp on an i686
samba1 login: DOMAIN+testuser
Password:
Last login: Thu Apr 7 12:47:43 on tty1
No directory /homes/DOMAIN/testuser!
Logging in with home = "/".
-bash-2.05b$
另外一个例子,域帐号可以使用FTP进入到服务器:
$ ftp samba1
Connected to samba1.smbtest.bogus.
220 (vsFTPd 1.2.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (samba1:testuser): DOMAIN+testuser
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
关于Winbind配置的更多信息,我们建议参考以下资源:
* /usr/share/doc/samba-<version>目录下的samba文档, 每一安装samba RPM基本包的红帽系统都含有. 此目录下提供有插图的PDF和HTML格式的参考手册.
* smb.conf man page, 运行man smb.conf命令即可看到. |
|
免费注册
发表于 2005-07-07 09:01
penlinuxs@126.com