dcsimg

将Samba 3加入您的Active Directory域

如果您依赖Active Directory但也希望Samba的功能和经济性,那么我们将Samba 3加入Active Directory域的指南将向您展示如何以交互方式进行中央管理和单点登录。

 By 卡拉·施罗德
第1页,共3页

如今,与Samba一起流行的事情是将Samba 3主机加入Windows Active Directory域。您可以在Windows网络中自由设置任意数量的Samba服务器,而无需将它们加入域。域成员身份的优点是中央管理和身份验证以及单点登录。使用Winbind,Linux客户端无需本地Linux系统帐户即可登录到AD域,这既节省时间又省力。

大概您已经拥有一个正常运行的Active Directory域,并且知道如何运行它。 AD非常依赖于DNS(域名系统),因此我假设您的DNS房子也井井有条。在Linux机器上,您需要3.0.8或更高版本的Samba 3。加上MIT Kerberos 5,版本1.3.1或更高版本,以及OpenLDAP。 (Samba文档指出,也可以使用0.6.3版或更高版本的Heimdal Kerberos。本文中的示例使用MIT Kerberos。)Debian用户需要使用 krb5-user,krb5-config,krb5-doc, libkrb53 包。红帽和Fedora用户需要 krb5 krb5-客户端 RPM。

首先,您应该验证您的Samba安装已被编译为支持Kerberos,LDAP,Active Directory和Winbind。它很可能具有,但是您需要确保。的 smbd 该命令具有一个用于打印构建信息的开关。您将看到比这里显示的更多的输出行:

root @ windbag:/ usr / sbin#cd / usr / sbin
root @ windbag:/ usr / sbin#smbd -b | grep LDAP

HAVE_LDAP _H
HAVE_LDAP
HAVE_LDAP _DOMAIN2HOSTLIST
...
root @ windbag:/ usr / sbin#smbd -b | grep KRB
HAVE_KRB5 _H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
root @ windbag:/ usr / sbin#smbd -b | grep ADS
WITH_ADS
WITH_ADS
root @ windbag:/ usr / sbin#smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND

如果很不幸,您缺少任何这些(将以空白行表示),则需要重新编译Samba。看到 第37章 Samba-3 HOWTO和参考指南的官方版本。

配置和测试Kerberos

假设我们的Active Directory域服务器是 bigserver.domain.net ,并且Samba服务器被命名为 samba1。这是绝对最小的Kerberos配置文件, /etc/krb5.conf ,用于连接到该域:

'libdefaults'
       default_realm = DOMAIN.NET

“领域”        DOMAIN.NET = {
       kdc = bigserver.domain.net
        }

'domain_realms'
       .kerberos.server = DOMAIN.NET

使用大写显示。现在尝试连接,并注意您的情况:

#kinit [email protected]
[email protected]的密码

配置/ etc / hosts

即使您的DNS服务器在各方面都非常完美,最好还是将重要服务器添加到本地 / etc / hosts 文件。如果DNS服务器出现故障,它可以加快查找速度并提供备用功能:

192.168.10.5  &nbsp bigserver.domain.net   &nbsp bigserver

本文最初于2005年3月3日发布
通过网络更新新闻获取最新消息