通過(guò)Winbind 將Linux 加入到Windows 域＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝Winbind 簡(jiǎn)介＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝Winbind 是一款 Samba 組件，

通過(guò)Winbind 將Linux 加入到Windows 域

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝Winbind 簡(jiǎn)介＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Winbind 是一款 Samba 組件，在 CentOS 系統(tǒng)下，他被包含在了 samba-common 包中。 Winbind 在Linux 上實(shí)現(xiàn)了微軟的RPC 調(diào)用、可插式驗(yàn)證模塊和名字服務(wù)切換，通過(guò) samba 接口與 Windows 域控獲得聯(lián)系，可以使NT 域用戶能在Linux 主機(jī)上以Linux 用戶身份進(jìn)行操作。通過(guò)設(shè)定 Linux 服務(wù)器的 nss 配置，我們可以讓系統(tǒng)通過(guò) Winbind 程序來(lái)解析用戶信息。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝NSS 簡(jiǎn)介＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

NSS 是 Sun 公司開(kāi)發(fā)用于定義系統(tǒng)中配置文件查找順序的工具。他的配置文件在 /etc/nsswitch.conf 。通過(guò)他我們可以定義系統(tǒng)在登錄時(shí)通過(guò) Winbind 來(lái)獲取用戶信息，而不只是本地配置文件：/etc/passwd 。

以下是可能出現(xiàn)在 /etc/nsswitch.conf 中的項(xiàng)目：

aliases 郵件別名；

passwd 系統(tǒng)用戶；

group 用戶組；

shadow 隱蔽口令；

hosts 主機(jī)名和I P地址；

networks 網(wǎng)絡(luò)名和號(hào)；

protocols 網(wǎng)絡(luò)協(xié)議；

services 端口號(hào)和服務(wù)名稱；

ethers 以太網(wǎng)號(hào)；

rpc 遠(yuǎn)程進(jìn)程調(diào)用的名稱和號(hào)

netgroup 網(wǎng)內(nèi)組

在本文中，我們需要修改的是：

passwd 系統(tǒng)用戶；

group 用戶組；

您需要將這兩項(xiàng)修改為：

passwd: files winbind

group: files winbind

個(gè)別參考資料將 shadow 也添加了 winbind 參數(shù)，我覺(jué)得沒(méi)有必要。

files 表示將從本地文件讀取用戶、組信息，而 winbind 參數(shù)則表示經(jīng)過(guò) winbind 從域讀取用戶信息。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝安裝 Samba 配置 Winbind＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

1. 通過(guò) yum 安裝 samba

[root@localhost etc]# yum install samba samba-common

Setting up Install Process

Setting up repositories

update 100 |=========================| 951 B 00:00

base 100 |=========================| 1.1 kB 00:00

addons 100 |=========================| 951 B 00:00

extras 100 |=========================| 1.1 kB 00:00

Reading repository metadata in from local files

Parsing package install arguments

Resolving Dependencies

–> Populating transaction set with selected packages. Please wait.

—> Downloading header for samba-common to pack into transaction set. samba-common-3.0.10-1.4E. 100 |=========================| 38 kB 00:01 —> Package samba-common.i386 0:3.0.10-1.4E.12.2 set to be updated

—> Downloading header for samba to pack into transaction set.

samba-3.0.10-1.4E.12.2.i3 100 |=========================| 101 kB 00:02 —> Package samba.i386 0:3.0.10-1.4E.12.2 set to be updated

–> Running transaction check

Dependencies Resolved

============================================================================= Package Arch Version Repository Size

=============================================================================

Installing:

samba i386 3.0.10-1.4E.12.2 update 13 M

samba-common i386 3.0.10-1.4E.12.2 update 5.0 M

Transaction Summary

============================================================================= Install 2 Package(s)

Update 0 Package(s)

Remove 0 Package(s)

Total download size: 18 M

Is this ok [y/N]: y

2. 檢查 Winbind 庫(kù)文件。

確保系統(tǒng) lib 目錄下已經(jīng)包含 libnss_winbind.so 庫(kù)文件。

[root@localhost etc]# ls /usr/lib | grep winbind

libnss_winbind.so

[root@localhost etc]#

3. 配置 Samba

打開(kāi) samba 配置文件，/etc/samba/smb.conf 。

vi /etc/samba/smb.conf

我們對(duì) [global] 標(biāo)簽下的內(nèi)容進(jìn)行配置：

workgroup = ABC #你的域名 比如完整域名為：linuxblog.cn ，則 ABC 寫 LINUXBLOG。 wins support = yes #開(kāi)啟 wins 服務(wù)器支持。

wins server = 192.168.0.1 192.168.0.1 #這里填寫你的域控服務(wù)器地址，中間以空格分隔。

wins proxy = yes

security = ADS #關(guān)于 security level 的詳細(xì)資料你可以查看 Samba 官方資料。這個(gè)選項(xiàng)我見(jiàn)過(guò)使用 Domain 的，也見(jiàn)過(guò)使用 AD 的。我使用 ADS也是成功的，暫時(shí)未搞懂他們的區(qū)別。

添加以下內(nèi)容：

acl compatibility = win2k

idmap uid = 16777216-33554431 #idmap uid 和 idmap gid是設(shè)置winbind 把win200x 域

用戶、組map 成本地用戶、組所使用的ID 號(hào)范圍，如果你的用戶很多，可以加大這兩個(gè)值之間的差。

idmap gid = 16777216-33554431

password server = 192.168.0.14 192.168.0.13 192.168.0.23 #解析用戶密碼的服務(wù)器，自然是 DC

map to guest = bad user

guest ok = no

realm = CN.MOBINEX.COM # realm 有域的含義，可能是指定完整域名。

encrypt psswords=cyes

winbind use default domain = yes

template homedir = /home/D/U 指定用戶目錄格式 /home/域名/用戶名請(qǐng)手動(dòng)創(chuàng)建域名目錄，并且將其設(shè)置為 777。不然域用戶無(wú)法正常登入主機(jī)。

template shell = /bin/bash #指定登入用戶使用的 shell

4. 配置 Kerbers

vi /etc/krb5.conf

以下是一個(gè)典型的未配置的文件：

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = EXAMPLE.COM

dns_lookup_realm = false

dns_lookup_kdc = false

[realms]

EXAMPLE.COM = {

kdc = kerberos.example.com:88

admin_server = kerberos.example.com:749

default_domain = example.com

}

[domain_realm]

.example.com = EXAMPLE.COM

example.com = EXAMPLE.COM

[kdc]

profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

最簡(jiǎn)單的配置方法，就是將 EXAMPLE.COM 全部替換成你的域名（大小寫需要保持一致），必要的地方寫上IP ：

[logging]

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmind.log

[libdefaults]

default_realm = LINUXBLOG.CN

dns_lookup_realm = false

dns_lookup_kdc = false

[realms]

LINUXBLOG.CN = {

kdc = 172.16.89.3:88

admin_server = 172.16.89.3:749

default_domain = linuxblog.cn

}

[domain_realm]

.example.com = LINUXBLOG.CN

example.com = LINUXBLOG.CN

[kdc]

profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false

}

5. 加域

在加域之前，一定要將 samba 服務(wù)以及 winbind 服務(wù)重新啟動(dòng)一下，以便能夠加載配置好的參數(shù)。

[root@localhost init.d]# service smb restart

Shutting down SMB services: [FAILED]

Shutting down NMB services: [FAILED]

Starting SMB services: [ OK ]

Starting NMB services: [ OK ]

[root@localhost init.d]# service winbind restart

Shutting down Winbind services: [FAILED]

Starting Winbind services: [ OK ]

(1) 使用 net join 命令加域

net rpc join -S PDC -U Administrator

這只是一個(gè)大致的格式，PDC 為域名：LINUXBLOG 。net join 的用法很多地方都可以找到，我感興趣的是另外一款小工具。

(2) 使用 authconfig 將機(jī)器加域

執(zhí)行 authconfig 命令，可以看到如下界面：

選擇使用 Winbind，使用 MD5 口令，使用 Kerberos，使用 SMB 驗(yàn)證，使用 Winbind 驗(yàn)證。

按下一步查看kerberos 設(shè)置：

查看 Winbind 設(shè)置，選擇加入域，輸入帳號(hào)密碼，按確定。

最后點(diǎn)擊 Join Domain。

提示你保存配置文件，我們選擇“是”。

提示輸入管理員用戶名以及密碼：

完成加域之后會(huì)返回上一層界面，我們點(diǎn)擊OK 。這時(shí)系統(tǒng)會(huì)自動(dòng)重啟 Winbind 服務(wù)。

這時(shí)就可以看到域用戶的信息了，比如：

[root@localhost init.d]# id Administrator

uid=16777216(administrator) gid=16777216(Domain Users) groups=16777216(Domain Users),16777217,16777218,16777219(Domain Admins),16777220(Enterprise Admins),16777221(Schema Admins),16777222(Group Policy Creator Owners)

當(dāng)然也可以使用 wbinfo -g （查看組信息） 以及 wbinfo -u （查看用戶信息） 命令。

[root@localhost init.d]# wbinfo -g

BUILTINSystem Operators

BUILTINReplicators

BUILTINGuests

BUILTINPower Users

BUILTINPrint Operators

BUILTIN?ministrators

BUILTIN?count Operators

BUILTIN?ckup Operators

BUILTINUsers

Domain Computers

Domain Controllers

Schema Admins

Enterprise Admins

Domain Admins

Domain Users

Domain Guests

Group Policy Creator Owners

DnsUpdateProxy

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝配置 PAM＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

很久以前的 Linux 程序，都有自己的用戶驗(yàn)證系統(tǒng)。這種模式在需要換驗(yàn)證系統(tǒng)的時(shí)候就會(huì)變的很麻煩，你需要修改程序的源代碼。甚至某些程序需要改變很多架構(gòu)。

比如 ssh 默認(rèn)是讀取本地的 passwd 文件來(lái)判斷用戶信息的，但是要讓他通過(guò) samba 來(lái)獲取用戶信息，我們?cè)趺醋瞿?？修?sshd 的源代碼？顯然這是一個(gè)很繁瑣的方式。

PAM 解決了這個(gè)問(wèn)題。眾多應(yīng)用程序都提供了和 PAM 的接口。如此一來(lái)應(yīng)用程序便可以不管用戶驗(yàn)證方式，而交給 PAM 處理，即 sshd 只認(rèn)識(shí) PAM 不認(rèn)識(shí) Winbind，當(dāng)然可以不認(rèn)識(shí) passwd 。而具體如何驗(yàn)證，這交給 PAM 去控制了。我們通過(guò)修改 PAM 的配置文件達(dá)到改變驗(yàn)證模式的目的。

你可以通過(guò) 深入Linux PAM 體系結(jié)構(gòu) 一文來(lái)詳細(xì)了解 PAM 的配置文件以及工作模式。 我們通過(guò)編輯 /etc/pam.d/sshd 文件來(lái)改變 sshd 的用戶驗(yàn)證模式，典型的配置文件如下： auth sufficient /lib/security/pam_winbind.so

auth required /lib/security/pam_stack.so service=system-auth

auth required /lib/security/pam_nologin.so

account sufficient /lib/security/pam_winbind.so

account required /lib/security/pam_stack.so service=system-auth

password required /lib/security/pam_stack.so service=system-auth

session required /lib/security/pam_stack.so service=system-auth

session required /lib/security/pam_limits.so

session required /lib/security/pam_mkhomedir.so

session optional /lib/security/pam_console.so

關(guān)于配置文件，很多地方都可以找到，或許各個(gè)版本有些不同。其實(shí)最重要的也就是加入 pam_winbind.so 模塊驗(yàn)證方式。

好了，現(xiàn)在你可以通過(guò) ssh 登錄域用戶了。記?。∫欢ㄒ謩?dòng)創(chuàng)建 /home/域名 且權(quán)限為777。