Linux AD服务器搭建
一、前言
在企业级应用中,Linux系统与Windows AD(Active Directory)域的集成能够实现统一的身份认证和管理,提高系统的安全性和管理效率,本文将详细介绍如何在Linux系统中搭建AD服务器,并实现与Windows AD域的无缝集成。
二、所需软件和环境准备
1、操作系统:Red Hat Enterprise Linux 6.x或以上版本。
2、网络配置:确保Linux服务器与AD域控制器之间的网络连接正常。
3、软件包:samba-client、samba-common、samba-winbind、krb5-workstation、oddjob、oddjob-mkhomedir、sssd等。
三、安装所需软件
在Linux服务器上执行以下命令以安装必要的软件包:
yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation oddjob oddjob-mkhomedir adcli
四、配置服务自启动并启动服务
设置smb和winbind服务自启动并启动服务:
chkconfig smb on chkconfig winbind on service smb start service winbind start
五、修改/etc/hosts文件
添加主机对应记录:
127、0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192、168.2.150 lemon20.contoso.com lemon20
六、设置DNS地址并与AD服务器同步时间
将AD服务器的IP地址添加到/etc/resolv.conf文件中:
echo "nameserver 192.168.2.122" >> /etc/resolv.conf
使用ntpdate命令与AD服务器同步时间:
ntpdate ad.contoso.com
七、配置Kerberos票据(可选)
销毁已经存在的所有票据:
kdestroy
查看当前是否还存在票据:
klist
生成新的票据,注意域名大写:
kinit administrator@CONTOSO.COM klist
八、加入AD域
以命令方式设置samba与Kerberos,并加入AD域:
#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity ads --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc=ad.contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain
九、增加sudo权限(可选)
编辑/etc/sudoers文件,加入下列设置:
%MYDOMAIN\\domain\ admins ALL=(ALL) NOPASSWD: ALL
十、确认是否正确加入AD域
查看AD的相关信息:
net ads info
查看MYDOMAIN\USERID的使用者帐户:
wbinfo -u
如果启用SELinux,需要安装oddjobmkhomedir并启动其服务:
yum install oddjobmkhomedir -y service oddjobd on
十一、配置AD用户登录信息
给Linux终端配置用户登录的权限,允许LiXiang用户的登录权限:
realm permit LiXiang@qianxishuibeng.com 允管理用户组的登录权限: realm permit -g 'Domain Admins'
配置sudo权限配置文件:
vim /etc/sudoers.d/domain_admins
添加单个用户权限:
LiXiang@qianxishuibeng.com ALL=(ALL) ALL
示例userb2@example-company.com ALL=(ALL) ALL
添加组权限:
%ITGroup@qianxishuibeng.com ALL=(ALL) ALL
测试域用户ssh登录:
ssh localhost -l LiXiang@qianxishuibeng.com
十二、配置手动挂载SMB文件系统
安装软件包:
yum install keyuti -y
手动挂载SMB文件系统只需要进行一次,验证连通性即可,后期通过自动挂载的方式实现Linux终端访问共享存储。
FAQs
Q1:如何确认Linux服务器已成功加入AD域?
A1:可以通过执行net ads info命令查看AD的相关信息,或者通过wbinfo -u命令查看特定用户的帐户信息来确认,如果能够正确显示AD域的信息和用户帐户,说明Linux服务器已成功加入AD域。
Q2:在配置过程中遇到“无法连接到AD域控制器”的错误提示怎么办?
A2:首先检查Linux服务器与AD域控制器之间的网络连接是否正常,包括IP地址、子网掩码、网关和DNS服务器的配置,然后确认AD域控制器上的相关服务(如DNS、LDAP等)是否正常运行,如果问题仍然存在,可以尝试重启Linux服务器和AD域控制器上的相关服务,或者检查防火墙设置是否阻止了相关的网络通信。
以上内容就是解答有关“linux ad服务器搭建”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
