dcsimg

使用Winbind将Linux加入Active Directory

从时间同步到与PAM进行角力,要使您的Linux系统与Active Directory结合起来,有很多方法。这是管理方法。

 By 卡拉·施罗德
第1页,共2页

两个星期前 我们给出了什么的高级观点 风绑定 是为了。今天,我们将逐步介绍如何使用winbind为加入Windows Active Directory域的Linuxnba赌钱和工作站提供单点登录。

将Sambanba赌钱加入Active Directory

看到 将Samba 3加入您的Active Directory域 有关如何执行此操作。此外,在编辑配置文件后,您还应该采取另一步骤。您应该删除所有 .tdb 文件以删除过时的数据。您可能要先备份它们;寻找 /etc/samba/secrets.tdb (可能不存在)和 / var / lib / samba。

另一个重要步骤是确保所有系统保持相同的时间。 Kerberos对时间同步特别敏感。在Linux上设置本地时间nba赌钱很容易,请参见 在Linux上保持准确的时间。配置本地时间nba赌钱比以往任何时候都更加轻松-而不是像文章所述列出单个时间nba赌钱,而是配置 /etc/ntp.conf使用NTPnba赌钱池:

nba赌钱pool.ntp.org
nba赌钱pool.ntp.org
nba赌钱pool.ntp.org

将其列出三遍会产生性能冗余-如果遇到故障的nba赌钱,它将很快尝试另一台nba赌钱。然后将本地客户端配置为指向本地NTPnba赌钱。

将Linux工作站加入Active Directory:PAM Fun

Samba和winbind为属于Active Directory域的Linux主机提供身份验证和身份解析,因为Active Directory并不打算提供直接对其进行身份验证的方法。请遵循将Sambanba赌钱加入AD的步骤。接下来是毛茸茸的部分-如果您的Linux用户需要访问需要身份验证的网络服务,则必须配置PAM(可插拔身份验证模块)。这可能有点烦人,但优点是它使用户不必管理多个登录名。它使您可以非常精确地控制对服务的访问。

在过去,只有一个 /etc/pam.conf 文件。然后,它进行了改进,并获得了各种灵活性,对于 /etc/pam.d。红帽,SuSE,Debian和无疑的其他发行版使PAM的配置有所不同,这给他们增添了乐趣,祝福他们的个人主义小灵魂。给发行维护者的注意事项:仅仅因为您可以与众不同并不意味着您必须这么做。

您的第一项工作是备份 /etc/pam.d,因为任何错误都可能导致您无法登录。因此,请妥善保管可引导的应急磁盘,如果遇到麻烦,请引导至单用户,然后恢复原始配置。

都停止 smbdWindbindd 服务(如果它们正在运行)。至少您必须在以下位置配置winbind身份验证 /etc/pam.d/login。这是在Debian上可用的示例配置:


auth       required     / lib /安全/pam_securetty.so
auth       sufficient   / lib /安全/pam_winbind.so
auth       sufficient   / lib /安全/pam_unix.so use_first_pass
auth       required     / lib /安全/pam_nologin.so
account    sufficient   / lib /安全/pam_winbind.so
session    required     / lib /安全/pam_mkhomedir.so skel=/etc/skel
umask=0022
@include common-auth
@include common-account
@include common-session
session    optional     / lib /安全/pam_console.so
@include 普通密码

指令的顺序很重要。确保 pam_winbind.so 被复制或链接到 / lib /安全。 PAM自动查找 / lib /安全 对于模块,因此您不必拼出完整的路径,但是无论如何还是要养成良好的习惯。文件 common-auth,公共帐户,公共会话普通密码 为所有服务定义通用设置。

本文最初于2005年5月3日发布
通过网络更新新闻获取最新消息