Samba：将Debian加入Windows域（I）

你好朋友！。 桑巴 让我们团结起来 Debian 到一个 Microsoft网域 从根本上取决于我们如何声明选项的两种不同方式 保安 在档案中 配置文件.

安全=域

机器必须使用以下命令加入域 净RPC连接。 参数 加密密码 在档案中 配置文件，必须设置为 true o 含，这是其默认值。

桑巴 它将通过将用户和密码凭据准确地传递到域控制器NT 4来将它们传递到域控制器，从而对其进行验证。

安全=域 这是我们在本文中将开发的方法.

安全性= ADS：在此模式下 桑巴 将作为王国的域成员（境界）。 为此，必须在Debian计算机上安装并配置客户端。 Kerberos的，并通过命令将其加入Active Directory 净广告加入.

此模式不会使Samba充当Active Directory域控制器。

我们会看到:

• 样本网络主要参数
• 域控制器中的最低要求
• Debian机器上的最低要求
• 我们安装必要的软件包并进行配置
• 我们将Debian加入域并进行必要的检查
• 我们允许在Debian中登录域用户
• 在台式机工作时的提示

样本网络主要参数

• 域控制器：Windows 2003 Server SP2企业版。
• 控制器名称：w2003
• 域名：amigos.cu
• 控制器IP：10.10.10.30
• ---------------
• Debian版本：挤压（6.0.7）[：-$ cat / etc / debian_version]
• 队名：压错
• IP地址：10.10.10.15
• 桑巴版：2：3.5.6〜dfsg-3squeeze9
• Winbind版本：2：3.5.6〜dfsg-3squeeze9
• 带有GDM3的GNOME桌面环境
• ---------------
• Debian版本：Wheezy 7.0
• 队名：miwheezy
• IP地址：10.10.10.20
• 桑巴版：2：3.6.6-6
• Winbind版本：2：3.6.6-6
• 带有GDM4的Xfce3桌面环境

域控制器中的最低要求

最初针对在CentOS上从“ ClearOS Enterprise 5.2 SP-1”配置的域控制器对本文描述的方法进行了测试，并且一切正常。 不用说它是自由软件。

我们将引用域控制器 Microsoft Windows Server 2003 SP2企业版，在许多古巴公司中使用。 抱歉，我没有版本安装光盘 服务器2008“ 或更高级的他们原谅我英语，但我唯一的安装程序是那种语言。

请阅读这篇文章 桑巴舞：SmbClient 在同一网站上发布，以便他们对在域控制器中创建的用户有所了解。

如果我们为Debian使用固定IP地址，则必须在域控制器的DNS的反向区域中声明“ A”类型的记录及其对应的记录。

当我们在装有Linux和Windows计算机的网络上工作时，始终建议启用WINS服务（Windows Internet名称服务），最好在域控制器中。

Debian机器上的最低要求

文件 / etc / resolv.conf中 应该具有以下内容：

搜索amigos.cu名称服务器10.10.10.30

我们执行：

$ hostname -f misqueeze.friends.cu $ dnsdomainname friends.cu $ host w2003 w2003.friends.cu地址为10.10.10.30 $ dig -x 10.10.10.30 [----] ;; 解答：30.10.10.10.in-addr.arpa。 1200 IN PTR w2003.amigos.cu。 [----]

我们安装必要的软件包并进行配置

＃aptitude安装samba winbind smbclient finger

软件包安装期间 桑巴，我们将被要求提供工作组的名称，在我们的示例中为 朋友.

我们保存原始文件 配置文件 然后我们将其清空：

＃cp /etc/samba/smb.conf /etc/samba/smb.conf.original＃cp / dev / null /etc/samba/smb.conf

我们编辑文件 配置文件 并保留以下内容：

[全局] ###网络浏览器-标识###工作组= FRIENDS服务器字符串=％h服务器获胜服务器= 10.10.10.30 dns代理=否###网络连接###接口= 127.0.0.0/8 eth0绑定接口仅=是主机允许= 10.10.10.0/255.255.255.0 ###调试###日志文件= /var/log/samba/log.%m最大日志大小= 1000 syslog = 0紧急操作= / usr / share /桑巴舞/惊慌行动％d ###验证###安全= 域
加密密码=是本地主机=没有域主机=没有首选主机=否### Winbind ### winbind uid = 15000-20000 winbind gid = 15000-20000模板shell = / bin / bash winbind使用默认域=是winbind rpc仅=是winbind脱机登录=是###其他###无效用户=根模板homedir = / home /％D /％U注册表共享=否＃unix字符集= ISO-8859-1＃显示字符集= ISO-8859 -1

我们检查文件的基本语法 配置文件:

#testparm

我们编辑文件 /etc/nsswitch.conf 并且我们修改了以下几行：

[----] passwd：         winbind文件
组：          winbind文件
阴影：兼容主机：文件dns胜出[----]

我们将Debian加入域并进行检查

＃service winbind stop＃service samba restart＃service winbind start＃net rpc join -U管理员＃service winbind stop＃service samba restart＃service winbind start＃net rpc testjoin -U Administrator＃net rpc info -U Administrator＃wbinfo -u＃ wbinfo -g＃手指大步前进＃getent passwd大步前进＃getent组“域用户”

当然，将在域控制器中正确创建计算机帐户。

到目前为止，我们已经看到我们可以获得有关域及其用户的正确信息。

在后面的文章中，我们将学习如何共享资源，以便域中注册的用户可以使用它们，也就是说，我们可以从工作站和专用服务器为Microsoft域的用户提供文件。

我们允许在Debian中登录域用户

当我们安装软件包 winbind的，Debian会自动配置可嵌入的身份验证模块或 可插拔身份验证模块 PAM。

但是，如果我们尝试通过SSH或图形会话以域用户身份启动会话，则会收到消息“身份验证失败”。

这是因为PAM模块的文件，更具体地说是 普通认证 已生成，包括通过Kerberos的身份验证，当我们声明时不会使用 安全=域 在档案中 配置文件.

为了使我们能够通过SSH或图形方式启动会话，我们必须手动修改文件：

• /etc/pam.d/common-auth
• /etc/pam.d/共同会话

/etc/pam.d/common-auth

我们从引用的行中删除 pam_winbind.so，相关参数 krb5。 该部分看起来像这样：

[----]＃这是每个软件包的模块（“主”块）auth [成功= 2默认=忽略] pam_unix.so nullok_secure auth [成功= 1默认=忽略]      pam_winbind.so cached_login try_first_pass
[----]

/etc/pam.d/共同会话

[----]
所需的会话pam_mkhomedir.so skel = / etc / skel / umask = 0022
###上面的行必须包含在＃之前＃这是每个软件包的模块（“主”块）[----]

我们重启涉及的服务

＃服务winbind停止＃服务samba重新启动＃服务winbind启动＃服务ssh重新启动

对PAM配置文件的上述修改将使Domain用户可以在我们的Debian工作站上发起SSH会话或在本地发起SSH会话。

每个用户的主目录也将在他们首次登录时创建。 个人文件夹或目录将在 /主页/ DOMAIN /域用户.

如果图形登录有任何困难，我们建议重新启动图形登录管理器（gdm3, KDM等），如果还不够，请重新启动工作站。

要通过SSH限制或限制对Debian的访问，我们必须编辑该文件 的/ etc / SSH / sshd_config中 并在末尾添加：

 AllowUsers myuser-local跨步为root

在我们的示例中 大步向前 是我们要允许通过SSH登录的域用户，而 至强 是本地用户。

我们也可以在文件中 / etc / sudoers 使用命令 维苏多，一个或多个域用户。

[----]＃用户权限规范root ALL =（ALL）ALL xeon ALL =（ALL）ALL跨越ALL =（ALL）ALL [----]

在台式机工作时的提示

如果要在具有图形登录和图形环境的台式机或工作站上工作，我们必须使要在本地登录的域用户至少属于以下组的成员： cdrom，软盘，音频，视频 y 插件开发。 如果我们使用调制解调器连接到外部网络，则还必须使它们成为该组的成员。 沾.

对于Squeeze，如果要在图形会话开始时消除用户列表，对于gdm3，我们将编辑文件 /etc/gdm3/greeter.gconf-默认值，然后取消注释该选项 / apps / gdm /简单问候/ disable_user_list，我们将其值更改为 true.

我们希望他们不要认为所解释的是复杂的或令人讨厌的。 在Linux上使用Samba套件时，请始终牢记，我们实际上模拟了几乎所有与SMB / CIFS网络有关的Windows功能……等等。 Microsoft提供“安全性”以换取Darkness。 就Linux而言，尽管乍一看似乎有些复杂，但它提供了安全性，透明性和自由性。

有什么要看的？ 努力是值得的！

朋友们，活动今天结束了。 直到下一次冒险！

注意：我们测试了Microsoft域的三个功能级别（即Mixed，Native 2000和Native 2003）中描述的过程。