本指南将介绍如何使用Authconfig-gtk将CentOS 7 Desktop与Samba4 Active Directory域控制器 集成 ,以便通过Samba所拥有的单个集中式帐户数据库对网络基础架构中的用户进行身份验证。
要求
第1步:为Samba4 AD DC配置CentOS网络
1.在开始将CentOS 7 Desktop加入Samba4域之前,您需要确保网络正确设置为通过DNS服务查询域。
打开网络设置并关闭有线网络接口(如果已启用)。 点击下面的设置按钮,如下面的截图所示,并手动编辑您的网络设置,特别是指向您的Samba4 AD DC的DNS IP。
完成后,应用配置并打开网络有线卡。
网络设置
配置网络
2.接下来,打开网络接口配置文件,并在文件末尾添加一行,其中包含您的域的名称。 此行确保当对域DNS记录仅使用短名称时,DNS解析(FQDN)会自动附加域对应部分。
$ sudo vi /etc/sysconfig/network-scripts/ifcfg-eno16777736
添加以下行:
SEARCH="your_domain_name"
网络接口配置
3.最后,重新启动网络服务以反映更改,验证解析器配置文件是否正确配置,并针对您的DC名称和域名发出一系列ping命令,以验证DNS解析是否正常。
$ sudo systemctl restart network $ cat /etc/resolv.conf $ ping -c1 adc1 $ ping -c1 adc2 $ ping youcl.lan
验证网络配置
4.此外,配置计算机主机名并重新引导计算机以通过发出以下命令正确应用设置:
$ sudo hostnamectl set-hostname your_hostname $ sudo init 6
验证主机名是否正确应用于以下命令:
$ cat /etc/hostname $ hostname
5.最后一个设置将通过发出以下命令确保您的系统时间与Samba4 AD DC同步:
$ sudo yum install ntpdate $ sudo ntpdate -ud domain.tld
第2步:安装所需的软件以加入Samba4 AD DC
6.为了将CentOS 7集成到Active Directory域,请从命令行安装以下软件包:
$ sudo yum install samba samba samba-winbind krb5-workstation
7.最后,安装由CentOS repos提供的用于域集成的图形界面软件: Authconfig-gtk 。
$ sudo yum install authconfig-gtk
第3步:将CentOS 7 Desktop加入Samba4 AD DC
8.将CentOS加入域控制器的过程非常简单。 从命令行打开Authconfig-gtk程序具有root权限,并进行以下更改如下所述:
$ sudo authconfig-gtk
在身份和身份验证选项卡上。
- 用户帐户数据库=选择Winbind
- Winbind域= YOUR_DOMAIN
- 安全模型= ADS
- Winbind ADS Realm = YOUR_DOMAIN.TLD
- 域控制器=域机器FQDN
- 模板Shell = / bin / bash
- 允许离线登录=选中
认证配置
在高级选项选项卡上。
- 本地验证选项=检查启用指纹读取器支持
- 其他身份验证选项= check首次登录时创建主目录
认证高级配置
9.添加所有必需的值后,返回到“身份和身份验证”选项卡,然后单击“ 加入域 ”按钮,并从“警报”窗口中单击“ 保存 ”按钮保存设置。
身份和身份验证
保存认证配置
10.保存配置后,您将被要求提供域管理员帐户以加入域。 提供域管理员用户的凭据,然后单击“确定”按钮以最终加入域。
加入Winbind域
11.在您的机器集成到领域之后,点击应用按钮以反映更改,关闭所有窗口并重新启动机器。
应用认证配置
12.为了验证系统是否已加入Samba4 AD DC ,请从安装了RSAT工具的Windows计算机打开AD用户和计算机,并导航到您的域计算机容器。
您的CentOS机器的名称应该列在正确的平面上。
Active Directory用户和计算机
第4步:使用Samba4 AD DC帐户登录到CentOS Desktop
13.为了登录到CentOS Desktop打不开列? 链接并添加域对应的域帐户的用户名,如下所示。
Domain\domain_account or Domain_user@domain.tld
未列出的用户
输入域用户名
14.要在CentOS中使用命令行从域帐户进行身份验证,请使用以下语法之一:
$ su - domain\domain_user $ su - domain_user@domain.tld
验证域用户名
验证域用户电子邮件
15.要为域用户或组添加root权限,请使用具有root权限的visudo命令编辑sudoers文件,并添加以下内容中所示的以下行:
YOUR_DOMAIN\\domain_username ALL=(ALL:ALL) ALL #For domain users %YOUR_DOMAIN\\your_domain\ group ALL=(ALL:ALL) ALL #For domain groups
向用户和组分配权限
16.要显示有关域控制器的摘要,请使用以下命令:
$ sudo net ads info
检查域控制器信息
17.为了验证当CentOS添加到Samba4 AD DC时创建的信任机器帐户是否正常,并通过发出以下命令从命令行安装Winbind客户端列出域帐户:
$ sudo yum install samba-winbind-clients
然后通过执行以下命令对Samba4 AD DC进行一系列检查:
$ wbinfo -p #Ping domain $ wbinfo -t #Check trust relationship $ wbinfo -u #List domain users $ wbinfo -g #List domain groups $ wbinfo -n domain_account #Get the SID of a domain account
获取Samba4 AD DC详细信息
18.如果您要离开域,请使用具有管理员权限的域帐户针对您的域名发出以下命令:
$ sudo net ads leave your_domain -U domain_admin_username
离开Samba4 AD域
就这样! 虽然此过程的重点是将CentOS 7连接到Samba4 AD DC ,但本文档中描述的相同步骤也适用于将CentOS 7 Desktop计算机集成到Microsoft Windows Server 2008或2012域。