本指南将向您展示如何使用Authconfig在命令行中将没有GUI的CentOS7服务器集成到Samba4AD域控制器中。这种类型的设置提供了一个由Samba持有的单一集中式帐户数据库,允许AD用户通过网络基础设施向CentOS服务器进行身份验证。RequirementsCreateADInfrastructurewithSamba4onUbuntuCentOS7.3安装指南步骤1:为Samba4ADDC配置CentOS1在开始将CentOS7服务器加入Samba4DC之前,您需要确保网络接口已正确配置以通过域名服务。运行ipaddress命令以列出您的机器网络接口,通过针对接口名称(本例中为ens33)运行nmtui-edit命令来选择要编辑的特定NIC,如下所示。#ipaddress#nmtui-editens33列出网络接口2.打开网络接口进行编辑后,添加最适合您的LAN的静态IPv4配置,并确保为DNS服务器设置SambaAD域控制器IP地址。此外,在SearchDomains中附加您的域名并使用[TAB]键跳转到OK按钮以应用更改。当您仅对域DNS记录使用短名称时,提交的搜索域保证域副本会自动附加到DNS解析(FQDN)。配置网络接口3,***,重新启动网络守护进程以应用更改,并通过ping域名和域控制器来测试DNS解析是否配置正确,如下所示。#systemctlrestartnetwork.service#ping-c2tecmint.lan#ping-c2adc1#ping-c2adc2验证域上的DNS解析4.此外,使用以下命令配置您的计算机主机名并重新启动机器以应用更改。#hostnamectlset-hostnameyour_hostname#init6使用以下命令验证主机名配置是否正确。#cat/etc/hostname#hostname5、***,以root权限运行以下命令,将本地时间与Samba4ADDC同步。#yuminstallntpdate#ntpdatedomain.tld与Samba4ADDC同步时间第2步:将CentOS7服务器添加到Samba4ADDC6。将CentOS7服务器添加到Samba4AD中,请在具有root权限的账户Bag上安装以下软件。#yuminstallauthconfigsamba-winbindsamba-clientsamba-winbind-clients7。为了将CentOS7服务器与域控制器集成,您可以使用root权限运行authconfig-tui并使用以下配置。#authconfig-tui首屏选择:在UserInformation:UseWinbindAuthentication中,使用[空格键]选择:UseShadowPasswordUseWinbindAuthenticationLocalauthorizationissufficientAuthenticationconfiguration8.点击Next进入Winbind设置界面,配置为如下:安全模型:adsDomain=YOUR_DOMAIN(使用大写)DomainControllers=domainmachinesFQDN(逗号分隔,如果超过一个)ADSRealm=YOUR_DOMAIN.TLDTemplateShell=/bin/bashWinbindSetup9.要加入域,请使用[tab]键跳到“加入域”按钮,按[Enter]键加入域。在下一页上,添加具有提升权限的Samba4AD帐户的凭据以将计算机帐户加入AD,然后单击确定以应用设置并关闭提示。请注意,当您输入用户密码时,凭据不会显示在屏幕上。再次点击下面的确定,完成CentOS7域集成。将域加入Samba4ADDC确认Winbind设置要强制将机器添加到特定的SambaADOU,请使用主机名命令获取机器的全名并在该OU中使用机器名称创建新的机器对象。将新对象添加到Samba4AD的最佳方法是在Windows机器上使用ADUC工具,该机器已集成到安装了RSAT工具的域中。重要提示:另一种加入域的方法是使用authconfig命令行,它提供了对集成过程的广泛控制。但是这种方法由于参数较多,容易出错,如下图。该命令必须作为一个长命令行输入。#authconfig--enablewinbind--enablewinbindauth--smbsecurityads--smbworkgroup=YOUR_DOMAIN--smbrealmYOUR_DOMAIN.TLD--smbservers=adc1.yourdomain.tld--krb5realm=YOUR_DOMAIN.TLD--enablewinbindoffline--enablewinbindkrb5--winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user--update--enablelocauthorize--savebackup=/backups10.机器加入域后,使用以下命令验证winbind服务是否正常运行。#systemctlstatuswinbind.service11。然后查看CentOS机器对象是否在Samba4AD中创建成功。在安装了RSAT工具的Windows计算机上,使用AD用户和计算机工具并转到您的域计算机容器。一个名为CentOS7Server的新AD计算机帐户对象应该在右侧的列表中。12、***,用文本编辑器打开samba主配置文件(/etc/samba/smb.conf)调整配置,在[global]配置块末尾追加如下一行,如下:winbindusedefaultdomain=truewinbindofflinelogon=true配置Samba13。为了在AD帐户***登录时在机器上创建本地主目录,请运行以下命令:#authconfig--enablemkhomedir--update14。***重启Samba守护进程以使更改生效,并使用AD帐户登录验证域加入。应该会自动创建AD帐户的主目录。#systemctlrestartwinbind#su-domain_account验证域加入15.通过以下命令之一列出域用户或域组。#wbinfo-u#wbinfo-g列出域用户和组16.要获取有关域用户的信息,请运行以下命令。#wbinfo-idomain_user列出域用户信息17.要显示域摘要信息,请使用以下命令。#netadsinfolistdomainsummary第3步:使用Samba4ADDC帐户登录CentOS18要在CentOS中对域用户进行身份验证,请使用以下命令语法之一。#su-‘domain\domain_user’#su-domain\\domain_user或者如果winbind使用defaultdomain=true参数在samba配置文件中设置,使用下面的语法。#su-domain_user#su-domain_user@domain.tld19。要为域用户或组添加root权限,请使用visudocommand编辑sudoers文件并添加下面屏幕截图中显示的行。YOUR_DOMAIN\\domain_usernameALL=(ALL:ALL)ALL#Fordomainusers%YOUR_DOMAIN\\your_domain\groupALL=(ALL:ALL)ALL#Fordomaingroups或者如果在samba配置文件中设置winbind使用默认domain=true参数,使用以下语法。domain_usernameALL=(ALL:ALL)ALL#Fordomainusers%your_domain\groupALL=(ALL:ALL)ALL#Fordomaingroups授予域用户root权限20.以下一系列针对Samba4ADDC的命令也可以用于故障排除:#wbinfo-p#Pingdomain#wbinfo-ndomain_account#GettheSIDofadomainaccount#wbinfo-t#Checktrustrelationship21.要离开域,请使用具有提升权限的域帐户在您的域名上运行以下命令。从AD中删除计算机帐户后,重新启动计算机以恢复集成过程之前的更改。#netadsleave-wDOMAIN-Udomain_admin#init6就是这样!虽然此过程主要侧重于将CentOS7服务器加入Samba4ADDC,但此处描述的相同步骤适用于将CentOS服务器集成到MicrosoftWindowsServer2012AD。
