pingchen4337 于 2009-05-05 09:48:05发表:
转一个文章给你: 1、samba 首先确保你的Linux系统中安装了samba包,并用下述命令来检查samba包的基础库支持,一般的RPM安装都不会有问题。 # smbd -b | grep LDAP HAVE_LDAP_H HAVE_LDAP HAVE_LDAP_DOMAIN2HOSTLIST ... # smbd -b | grep KRB HAVE_KRB5_H HAVE_ADDRTYPE_IN_KRB5_ADDRESS HAVE_KRB5 ... # smbd -b | grep ADS WITH_ADS WITH_ADS # smbd -b | grep WINBIND WITH_WINBIND WITH_WINBIND 2、krb5配置 编辑/etc/krb5.conf中以下三节: 假设你的域名是SZ.AAA.COM,域控制器是dc01.sz.aaa.com/192.168.1.200。 [libdefaults] default_realm = SZ.AAA.COM dns_lookup_realm = false dns_lookup_kdc = true [realms] SZ.AAA.COM= { kdc = 192.168.1.200:88 admin_server = 192.168.1.200:749 default_domain = SZ.AAA.COM } [domain_realm] .SZ.AAA.COM= SZ.AAA.COM SZ.AAA.COM= SZ.AAA.COM 确保你的配置严格区分大小写,否则你可能在用kinit测试连接时可能遇到错误 “Cannot find KDC for requested realm while getting initial credentials”. # kinit Administrator@SZ.AAA.COM Password for Administrator@SZ.AAA.COM 3、Samba配置 编辑修改/etc/samba/smb.conf如下: [global] workgroup = SZ realm = SZ.AAA.COM security = ADS password server = 192.168.1.200 encrypt passwords = yes winbind separator = + idmap uid = 10000-20000 idmap gid = 10000-20000 winbind use default domain = Yes [homes] comment = Home Directories valid users = %S read only = No browseable = No 保存并用testparm来检查配置中可能的语法错误。 若无错误,(重)启动samba服务。 然后用 net ads join -S 192.168.1.200 -U Administrator来加入域,这时需要输入域管理员密码。 4、winbind配置 编辑/etc/nsswitch.conf,更改passwd和group为(files需视你linux系统配置NIS与否,如配置NIS,则为compat) passwd: files winbind group: files winbind 保存后(重)启动samba服务。(重)启动winbind。 用 wbinfo -u检索用户,wbinfo -g检索用户组来测试winbind是否正常。 5、Apache中NTLM用户校验模块,用下面的链接可以得到其源代码。 http://samba.org/ftp/unpacked/lorikeet/mod_auth_ntlm_winbind/ 该源代码需要APACHE源码安装版本后的apxs,把apxs路径设入PATH变量或在Makefile中更改执行make install,进入模块目录,执行如下安装: autoconf ./configure apxs -DAPACHE2 -c -i mod_auth_ntlm_winbind.c 应该在/usr/local/apache2/modules下生成mod_auth_ntlm_winbind.so模块。 6、Apache配置 在httpd.conf中加入 LoadModule auth_ntlm_winbind_module modules/mod_auth_ntlm_winbind.so 并在需要NTLM校验的DIRECTORY配置如下内容: AuthName "SZ.AAA.COM" NTLMAuth on NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp" NTLMBasicAuthoritative on AuthType NTLM require valid-user 并对相应目录可以设置域用户/用户组权限。 经验总结: 1、据winbind开发者说CentOS自带的samba+winbind会带来许多意料不到的问题,用Version 3.0.26a-SerNet-RedHat(可从http://enterprisesamba.com/index.php?id=64得到需要的client,common, winbind包). CentOS 4.2(2.6.9-22) 带的是samba 3.0.10-1.4E.2。 2、Version 3.0.26a-SerNet-RedHat版的/var/lib/samba/winbindd_privileged(CentOS集成samba版的/var/cache/samba/winbindd_privileged)文件权限为777,否则Apache可能报500 internal server error。 3、在重启winbind服务前,手工删除2中所述文件,否则重启会因该文件权限更改了导致失败。 4、kinit 和net ads join -S 用户不一定要administrator,一致既可,当然该用户必须要有加Windows NT域的权限。 5、通过更改/etc/pam.d/下相关验证配置文件,可以很容易地为su, ssh, login, ftp等配置domain user集成。
pingchen4337 于 2009-05-05 09:48:05发表:
转一个文章给你:
1、samba
首先确保你的Linux系统中安装了samba包,并用下述命令来检查samba包的基础库支持,一般的RPM安装都不会有问题。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST
...
# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5
...
# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
2、krb5配置
编辑/etc/krb5.conf中以下三节: 假设你的域名是SZ.AAA.COM,域控制器是dc01.sz.aaa.com/192.168.1.200。
[libdefaults]
default_realm = SZ.AAA.COM
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
SZ.AAA.COM= {
kdc = 192.168.1.200:88
admin_server = 192.168.1.200:749
default_domain = SZ.AAA.COM
}
[domain_realm]
.SZ.AAA.COM= SZ.AAA.COM
SZ.AAA.COM= SZ.AAA.COM
确保你的配置严格区分大小写,否则你可能在用kinit测试连接时可能遇到错误 “Cannot find KDC for requested realm while getting initial credentials”.
# kinit Administrator@SZ.AAA.COM
Password for Administrator@SZ.AAA.COM
3、Samba配置
编辑修改/etc/samba/smb.conf如下:
[global]
workgroup = SZ
realm = SZ.AAA.COM
security = ADS
password server = 192.168.1.200
encrypt passwords = yes
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
保存并用testparm来检查配置中可能的语法错误。
若无错误,(重)启动samba服务。
然后用 net ads join -S 192.168.1.200 -U Administrator来加入域,这时需要输入域管理员密码。
4、winbind配置
编辑/etc/nsswitch.conf,更改passwd和group为(files需视你linux系统配置NIS与否,如配置NIS,则为compat)
passwd: files winbind
group: files winbind
保存后(重)启动samba服务。(重)启动winbind。
用 wbinfo -u检索用户,wbinfo -g检索用户组来测试winbind是否正常。
5、Apache中NTLM用户校验模块,用下面的链接可以得到其源代码。
http://samba.org/ftp/unpacked/lorikeet/mod_auth_ntlm_winbind/
该源代码需要APACHE源码安装版本后的apxs,把apxs路径设入PATH变量或在Makefile中更改执行make install,进入模块目录,执行如下安装:
autoconf
./configure
apxs -DAPACHE2 -c -i mod_auth_ntlm_winbind.c
应该在/usr/local/apache2/modules下生成mod_auth_ntlm_winbind.so模块。
6、Apache配置
在httpd.conf中加入
LoadModule auth_ntlm_winbind_module modules/mod_auth_ntlm_winbind.so
并在需要NTLM校验的DIRECTORY配置如下内容:
AuthName "SZ.AAA.COM"
NTLMAuth on
NTLMAuthHelper "/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp"
NTLMBasicAuthoritative on
AuthType NTLM
require valid-user
并对相应目录可以设置域用户/用户组权限。
经验总结:
1、据winbind开发者说CentOS自带的samba+winbind会带来许多意料不到的问题,用Version 3.0.26a-SerNet-RedHat(可从http://enterprisesamba.com/index.php?id=64得到需要的client,common, winbind包).
CentOS 4.2(2.6.9-22) 带的是samba 3.0.10-1.4E.2。
2、Version 3.0.26a-SerNet-RedHat版的/var/lib/samba/winbindd_privileged(CentOS集成samba版的/var/cache/samba/winbindd_privileged)文件权限为777,否则Apache可能报500 internal server error。
3、在重启winbind服务前,手工删除2中所述文件,否则重启会因该文件权限更改了导致失败。
4、kinit 和net ads join -S 用户不一定要administrator,一致既可,当然该用户必须要有加Windows NT域的权限。
5、通过更改/etc/pam.d/下相关验证配置文件,可以很容易地为su, ssh, login, ftp等配置domain user集成。