如何将Linux机器添加到WindowsAD域_2

对于账号统一管理系统或软件，你可能知道Linux下的NIS、OpenLDAP、samba或RedHat、IBM的产品，当然最著名的当然是WindowsDirectory下的ActiveDirectory（AD），这里讨论如何让Linux电脑加入AD域。首先简单介绍一下AD域。从Windows2000开始，AD就是Windows的身份验证和目录服务。AD基于LDAP实现其功能。它使用DNS进行主机名解析，使用KerberosV5进行用户身份验证，使用LDAPV3进行统一帐户管理。目的：在AD域中，将Linux服务器添加到AD中，这样DomainAdmins用户组的成员就可以登录操作Linux服务器，而无需在Linux服务器中单独创建账号。环境：一台WindowsServer2012R2操作系统服务器，安装AD，作为域控制器（DC）使用，同时作为DNS服务器和时间服务器；一台RedHatEnterpriseLinux6.x服务器，请自行配置好网络和YUM源。关于AD域服务器的搭建，由于比较简单，请大家自行查阅资料完成，这里不再赘述。这里Windows服务器地址为192.168.2.122，域名为contoso.com，主机名为ad.contoso.com；Linux服务器地址是192.168.2.150，主机名是lemon20.contoso.com。1.安装所需的软件：#yum-yinstallsambasamba-clientsamba-commonsamba-winbindsamba-winbind-clientskrb5-workstationntpdate2。设置服务自动启动，启动服务：#chkconfigsmbon#chkconfigwinbindon#servicesmbstart#servicewinbindstart3。修改/etc/hosts文件，添加host对应记录：127.0.0.1localhostlocalhost.localdomainlocalhost4localhost4.localdomain4::1localhostlocalhost.localdomainlocalhost6localhost6.localdomain6192.168.2.150lemon20.contoso.comlemon204，设置DNS地址并与AD服务器同步时间：#echo"nameserver192.168.2.122">>/etc/resolv.conf#ntpdatead.contoso.com5.设置Kerberos票证（可选）：销毁所有现有票证：#kdestroy查看是否还有票证：#klistklist:Nocredentialscachefound(ticketcacheFILE:/tmp/krb5cc_0)生成一个新的注意，注意域名大小写。#kinitadministrator@CONTOSO.COM#klistTicketcache:FILE:/tmp/krb5cc_0Defaultprincipal:administrator@CONTOSO.COMValidstartingExpiresServiceprincipal08/02/1622:35:2608/03/1608:35:29krbtgt/CONTOSO.COM@CONTOSO.COMrenewuntil08/209:/35:266。使用命令设置samba和Kerberos，并加入AD域：#authconfig--enablewinbind--enablewins--enablewinbindauth--smbsecurityads--smbworkgroup=CONTOSO--smbrealmCONTOSO.COM--smbservers=ad.contoso.com--enablekrb5--krb5realm=CONTOSO.COM--krb5kdc=ad.contoso.com--krb5adminserver=ad.contoso.com--enablekrb5kdcdns--enablekrb5realmdns--enablewinbindoffline--winbindtemplateshell=/bin/bash--winbindjoin=administrator--更新--enablelocauthorize--enablemkhomedir--enablewinbindusedefaultdomain命令中注意大小写，这一步也可以使用authconfig-tui完成。7、添加sudo权限（可选）：#visudo添加如下设置：%MYDOMAIN\\domain\adminsALL=(ALL)NOPASSWD:ALL8、确认是否正确加入AD域：查看AD的相关信息#netadsinfo查看MYDOMAIN\USERID用户帐号#wbinfo-u补充：如果启用selinux，需要安装oddjobmkhomedir并启动其服务，以确保系统为创建的home目录设置合适的SELinux安全上下文。