- 论坛徽章:
- 0
|
经过在网上查找好多资料,现在终于搞定了Samba的用户管理由AD 域控制器来执行,也就是说把samba 服务器加入到AD 域中,使之成为AD中的member server,这样就可以逐步把Windows的文件服务器向linux的(samba)文件服务器进行迁移,(我的目的就是要把WIN往linux上面迁移!呵呵,这样就是提高服务器的安全性和稳定性,在前期我做过使用desktop OS也换成linux,但是对我来说是可以的,而对大多数非专业人员、或者说企业内部人员,这是很难做到,所以最终可以在资金和安全方面考虑,把企业里面的服务器换成linux OS,这样是可以做到的,当然,有人也会说,把AD也换成Samba,不过我还没有去试过,以后再去试,再说,现在大多数企业环境还是离不开回win吧,呵呵,所以我认为把Samba加入到域是最好的一种方式,以后可以把ISA换成squid,exchange换成sendmail或是qmail等,最终还是要用AD来实现全网统一用户管理,所以我们要走的路还很长!在chinaunix 上面的已经有高手这样做到了,看来我要加油)
Samba有两种方法来动态增加系统用户帐号
一、添加用户脚本
使用添加用户脚本可能是两种方法里面最简单的一种,因为它只需要一个配置选项。
添加用户脚本这个Samba配置选项可以在/etc/samba/smb.conf文件的[global]项里使用。
下面是一个示例:
# if you only want the accounts created but do not want the users to have a real
# login shell or their own home directory on the server, use something like this:
# add user script = /usr/sbin/useradd -g smbusers -s /bin/false -d /dev/null -M %u
# if you want to the domain users to have a real login shell and a home directory
# on the server, use something like this instead:
add user script = /usr/sbin/useradd -g smbusers -s /bin/bash %u
对一个连接用户,如果他成功通过身份认证,并且帐户在/etc/passwd里并不存在,添加用户脚本将为其创建一个系统帐户。除非被配置成其他的目录名,用户主目录将被创建成/home/<username>。
二、使用Windbind
详情参看《Samba有两种方法来动态增加系统用户帐号》
我的实际例:可以参看http://romexp.blog.163.com/blog/static/3610065200762614516829
1. 实现环境
Fedora 7 + Squid 2.6 + Samba 3.0 + Krb5
2. 软件包安装
Samba及Krb5均通过yum安装最新版本。
3. Kerberos配置
Win2003系统默认通过Kerberos做身份验证,Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5.conf,配置如下
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TEST.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TEST.COM = {
kdc = 192.168.1.200:88
admin_server = 192.168.1.200:749
default_domain = TEST.COM
}
[domain_realm]
.test.com = TEST.COM
test.com = TEST.COM
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
我使用winbind方法同步AD帐号:
samba.conf配置如下:
[global]:
workgroup = TEST
netbios name = fedora
server string = Samba Server
security = domain
password server = win2k3.test.com
preferred master = no
domain master = no
domain logons = no
idmap uid = 15000-20000
idmap gid = 15000-20000
winbind enum groups = yes
winbind enum users = yes
注:此二行表示为是否在linux下添加AD帐号,只有加了此二行,在使用getent passwd和gentent group才能显示AD上面的帐号和组
winbind separator = /
winbind use default domain = yes
template homedir = /homes/%D/%U 注:此处为homes而不是home,我在此处就走了很多弯路,当然也可以自己设定在/home/%D/%U
template shell = /bin/bash
[homes]
comment = User's Home Directories
path = /homes/%D/%U 和上面 template homedir的值一样
browseable = no
valid users = %U
特别注意:此二处为一定要是%U,而不能使用%S ,%U 需要的客户端用户名即登录用户名,而%S是 当前共享名
writable = yes
这些设置的一个简单的说明如下:
- idmap uid - 指定一个uid范围,该范围内的uid被用来映射UNIX用户到windows用户SID,而且要确保这个id范围内没有被本地或者NIS用户占用,winbind启动以后,也不能在该ID范围内添加用户。
- idmap gid - 指定一个gid范围,该范围内的gid被用来映射UNIX用户到windows的组SID,而且要确保这个id范围内没有被本地或者NIS组占用,winbind启动以后,也不能在该ID范围内添加新组。
- winbind separator - 指定一个字符作为分隔符,winbind将使用该分隔符来用户或组名。使用该配置将使得域用户表示为 "MYDOMAIN+username",域组被表示为"MYDOMAIN+Domain Users"
- winbind enum groups和winbind enum users - 指定winbind是否在系统上创建域的组/用户,一般情况下都要设置为yes,除非你处于某种原因希望关闭该功能。
- template homedir - 用来指定为域用户产生主目录。上面的示例中使用了变量替换,将使得winbind把用户主目录设置为/homes/MYDOMAIN/username。
需要注意的是如果希望特定域或者所有域用户在samba目录有主目录,那么管理员必须手工创建,虽然template homedir控制samba在哪里寻找域用户的主目录,但是不会自动创建,所以要自己手动创建,并设定权限。
然后,管理员需要手工编辑/etc/nsswitch.conf文件,这样winbind能实现使用域上的用户。在红帽知识库中有其他文章讨论该问题。 http://www.redhat.com.cn/kbase/4760.php
使用 net rpc join -S win2k3.test.com -U administrator 把linux主机加入到域中
重新启动samba
service smb restart
同时winbind也要重新启动。
service winbind restart
确认Samba主机帐号在AD中正确注册
root# wbinfo –t
checking the trust secret via RPC calls succeeded
说明主机信任已成功建立
使用wbinfo –u 可以列出AD中注册的帐号信息。Wbinfo –g可以返回AD中的组信息。
配制NSS
Nss为Name Service Switch,控制帐号的验证。编辑/etc/nsswitch.conf,如下
passwd: files winbind
group: files winbind
检查PDC用户(组)转换为本地用户(组)UID和GIU情况:
getent passwd
显示将PDC用户转换成系统用户的GID情况,显示最后类似如下信息:
getent group
此时可以看到AD帐号已经加到linux的系统用户列表中 uid和gid
总结:到目前为止,现在可以用AD的用户进行samba ,并且home目录也都可以访问自己的家目录了!比如:现在我在AD上新增user2 ,并设定
了password,能后需要在linux下面 mkdir /home/TEST/user2 再使用
# chown 'TEST\user2':'TEST\domain users' /home/TEST/user2 改变目录所有者,就可以登录使用了。
要设定share folds 就可以使用以下代码:
[user2' Directory]
comment = user2's Directory
path = /homes/TEST/user2
;browseable = no
valid users = TEST/user2
writable = yes
create mode = 0777
directory mode = 0777 这二种方式还是需要合用chown 来改变目录所有者才可以,还要研究!
以上为我使用 samba的winbind来对AD和samba的完美整合,使用用户脚本方式,我还没有去研究测试,我是在借鉴别人很多技术分享才得以成
功的,当然可能还会有很多纰漏,还请大家多多指正,这也是我要把服务器逐步换为linux OS的第一步!请关注我的blog
(http://romexp.blog.163.com)后续还会有我的第二步。
我的MSN:rome_xp@msn.com
具体的可以查看我的 http://romexp.blog.163.com/blog/static/36100652007629115755400/
[ 本帖最后由 romexp 于 2007-7-29 16:51 编辑 ] |
|
免费注册
发表于 2007-07-29 12:36
