本指南将向您介绍如何使用Authconfig软件从命令行将CentOS 7服务器与Samba4 Active Directory域控制器无图形用户界面集成。
这种类型的设置提供了一个由Samba持有的单一集中式帐户数据库,允许AD用户通过网络基础设施对CentOS服务器进行身份验证。
要求
第1步:配置CentOS for Samba4 AD DC
1.在开始将CentOS 7 Server加入Samba4 DC之前,您需要确保网络接口被正确配置为通过DNS服务查询域。
运行ip address命令列出您的机器网络接口,并通过针对接口名称发出nmtui-edit命令(如本例中的ens33) ,选择要编辑的特定NIC,如下所示。
# ip address # nmtui-edit ens33
列出网络接口
2.打开网络接口进行编辑后,添加最适合LAN的静态IPv4配置,并确保为DNS服务器设置Samba AD域控制器IP地址。
另外,在搜索域中追加您的域的名称,并使用[TAB]键导航到确定按钮来应用更改。
提取的搜索域确保当您只使用域名DNS记录的短名称时,域对应方会自动附加DNS解析(FQDN)。
配置网络接口
3.最后,重新启动网络守护程序以应用更改,并测试是否通过针对域名和域控制器短名称发出一系列ping命令来正确配置DNS解析,如下所示。
# systemctl restart network.service # ping -c2 youcl.lan # ping -c2 adc1 # ping -c2 adc2
验证域上的DNS解析
4.另外,配置您的机器主机名并重新启动机器以通过发出以下命令正确应用设置。
# hostnamectl set-hostname your_hostname # init 6
使用以下命令验证主机名是否正确应用。
# cat /etc/hostname # hostname
5.最后,通过使用root权限发出以下命令,与Samba4 AD DC同步本地时间。
# yum install ntpdate # ntpdate domain.tld
与Samba4 AD DC同步时间
第2步:将CentOS 7服务器加入Samba4 AD DC
6.要将CentOS 7服务器加入到Samba4 Active Directory中,请先从具有root权限的帐户在计算机上安装以下软件包。
# yum install authconfig samba-winbind samba-client samba-winbind-clients
7.为了将CentOS 7服务器与域控制器集成,可以使用root权限运行authconfig-tui图形实用程序,并使用下面的配置。
# authconfig-tui
在第一个提示屏幕上选择:
- 用户信息 :
- 使用Winbind
- 在“ 验证”选项卡上按[空格键]选择:
- 使用影子密码
- 使用Winbind认证
- 本地授权就足够了
验证配置
8.点击下一步继续Winbind设置屏幕并配置如下图所示:
- 安全模式: 广告
- Domain = YOUR_DOMAIN (使用大写)
- 域控制器= 域机器FQDN (如果多个分隔,则为逗号分隔)
- ADS Realm = YOUR_DOMAIN.TLD
- Template Shell = / bin / bash
Winbind设置
9.使用[tab]键执行域名加入导航到“ 加入域”按钮,然后按[Enter]键加入域。
在下一个屏幕提示下,添加具有提升权限的Samba4AD帐户的凭据,以将计算机帐户加入AD,然后单击“ 确定”应用设置并关闭提示。
请注意,当您键入用户密码时,凭据将不会显示在密码屏幕中。 在剩下的屏幕上再次点击OK ,完成CentOS 7机器的域集成。
加入域到Samba4 AD DC
确认Winbind设置
要强制将机器添加到特定的Samba AD组织单元中 ,请使用hostname命令获取机器的完整名称,并在该OU中使用机器名称创建一个新的“计算机”对象。
将新对象添加到Samba4 AD中的最佳方法是使用安装了RSAT工具的集成到域中的Windows机器的ADUC工具。
重要提示 :加入域的另一种方法是使用authconfig命令行,可以对集成过程提供广泛的控制。
但是,如下图所示,这种方法很容易对其众多参数造成错误。 该命令必须输入一条长行。
# authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update --enablelocauthorize --savebackup=/backups
10.机器加入域后,通过发出以下命令验证winbind服务是否启动并运行。
# systemctl status winbind.service
11.然后检查是否在Samba4 AD中成功创建了CentOS机器对象。 使用安装了RSAT工具的Windows机器上的AD用户和计算机工具,并导航到您的域计算机容器。 一个名为CentOS 7服务器的新AD计算机帐户对象应该列在正确的平面上。
最后,通过使用文本编辑器打开samba主配置文件( /etc/samba/smb.conf )来调整配置,并在[global]配置块的末尾附加以下行,如下所示:
winbind use default domain = true winbind offline logon = true
配置Samba
13.为了在AD帐户首次登录时在机器上创建本地家庭,请运行以下命令。
# authconfig --enablemkhomedir --update
14.最后,重新启动Samba守护进程以反映更改并通过使用AD帐户在服务器上执行登录来验证域加入。 应自动创建AD帐户的主目录。
# systemctl restart winbind # su - domain_account
验证域连接
15.通过发出以下命令之一列出域用户或域组。
# wbinfo -u # wbinfo -g
列出域用户和组
16.要获取有关域用户的信息,请运行以下命令。
# wbinfo -i domain_user
列出域用户信息
17.要显示汇总域信息,请发出以下命令。
# net ads info
列出域摘要
第3步:使用Samba4 AD DC帐户登录CentOS
18.要在CentOS中与域用户进行身份验证,请使用以下命令行语法之一。
# su - ‘domain\domain_user’ # su - domain\\domain_user
或者使用以下语法来防止winbind使用default domain = true参数设置为samba配置文件。
# su - domain_user # su - [email protected]
19.要为域用户或组添加root权限,请使用visudo命令编辑sudoers文件,并添加以下屏幕截图所示的以下行。
YOUR_DOMAIN\\domain_username ALL=(ALL:ALL) ALL #For domain users %YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL #For domain groups
或者使用下面的摘录,以防winbind使用default domain = true参数设置为samba配置文件。
domain_username ALL=(ALL:ALL) ALL #For domain users %your_domain\ group ALL=(ALL:ALL) ALL #For domain groups
授予域用户的根权限
20.针对Samba4 AD DC的以下一系列命令也可用于故障排除:
# wbinfo -p #Ping domain # wbinfo -n domain_account #Get the SID of a domain account # wbinfo -t #Check trust relationship
21.使用具有提升权限的域帐户离开域对您的域名运行以下命令。 从AD中删除计算机帐户后,重新启动计算机以在集成过程之前还原更改。
# net ads leave -w DOMAIN -U domain_admin # init 6
就这样! 尽管此过程主要集中在将CentOS 7服务器加入到Samba4 AD DC中,但这里描述的相同步骤也适用于将CentOS服务器集成到Microsoft Windows Server 2012 Active Directory中。