dcsimg

使用Winbind将Linux加入Active Directory

从时间同步到与PAM进行角力,要使您的Linux系统与Active Directory结合起来,有很多方法。这是管理方法。

 By 卡拉·施罗德
第1页,共2页

两个星期前 我们给出了什么的高级观点 风绑定 是为了。今天,我们将逐步介绍如何使用winbind为加入Windows Active Directory域的Linux服务器和工作站提供单点登录。

将Samba服务器加入Active Directory

看到 将Samba 3加入您的Active Directory域 有关如何执行此操作。此外,在编辑配置文件后,您还应该采取另一步骤。您应该删除所有 .tdb 文件以删除过时的数据。您可能要先备份它们;寻找 /etc/samba/secrets.tdb (可能不存在)和 / var / lib / samba。

另一个重要步骤是确保所有系统保持相同的时间。 Kerberos对时间同步特别敏感。在Linux上设置本地时间服务器很容易,请参见 在Linux上保持准确的时间。配置本地时间服务器比以往任何时候都更加轻松-而不是像文章所述列出单个时间服务器,而是配置 /etc/ntp.conf使用NTP服务器池:

服务器pool.ntp.org
服务器pool.ntp.org
服务器pool.ntp.org

将其列出三遍会产生性能冗余-如果遇到故障的服务器,它将很快尝试另一台服务器。然后将本地客户端配置为指向本地NTP服务器。

将Linux工作站加入Active Directory:PAM Fun

Samba和winbind为属于Active Directory域的Linux主机提供身份验证和身份解析,因为Active Directory并不打算提供直接对其进行身份验证的方法。请遵循将Samba服务器加入AD的步骤。接下来是毛茸茸的部分-如果您的Linux用户需要访问需要身份验证的网络服务,则必须配置PAM(可插拔身份验证模块)。这可能有点烦人,但优点是它使用户不必管理多个登录名。它使您可以非常精确地控制对服务的访问。

在过去,只有一个 /etc/pam.conf 文件。然后,它进行了改进,并获得了各种灵活性,对于 /etc/pam.d。红帽,SuSE,Debian和无疑的其他发行版使PAM的配置有所不同,这给他们增添了乐趣,祝福他们的个人主义小灵魂。给发行维护者的注意事项:仅仅因为您可以与众不同并不意味着您必须这么做。

您的第一项工作是备份 /etc/pam.d,因为任何错误都可能导致您无法登录。因此,请妥善保管可引导的应急磁盘,如果遇到麻烦,请引导至单用户,然后恢复原始配置。

都停止 smbdWindbindd 服务(如果它们正在运行)。至少您必须在以下位置配置winbind身份验证 /etc/pam.d/login。这是在Debian上可用的示例配置:


auth       required     / lib /安全/pam_securetty.so
auth       sufficient   / lib /安全/pam_winbind.so
auth       sufficient   / lib /安全/pam_unix.so use_first_pass
auth       required     / lib /安全/pam_nologin.so
account    sufficient   / lib /安全/pam_winbind.so
session    required     / lib /安全/pam_mkhomedir.so skel=/etc/skel
umask=0022
@include common-auth
@include common-account
@include common-session
session    optional     / lib /安全/pam_console.so
@include 普通密码

指令的顺序很重要。确保 pam_winbind.so 被复制或链接到 / lib /安全。 PAM自动查找 / lib /安全 对于模块,因此您不必拼出完整的路径,但是无论如何还是要养成良好的习惯。文件 common-auth,公共帐户,公共会话普通密码 为所有服务定义通用设置。

本文最初于2005年5月3日发布
通过网络更新新闻获取最新消息