GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

Integrieren Sie Linux-Server mit Active Directory mit Samba, Winbind und Kerberos

In diesem Tutorial besprechen wir, wie Linux-Server (Centos/RHEL) zu Authentifizierungszwecken in Windows Active Directory integriert werden. In meinem Fall habe ich Centos/RHEL 6-Server. Führen Sie die folgenden Schritte aus, um diese Server mithilfe von Samba, Winbind und Kerberos in AD zu integrieren.

Schritt 1 :Installieren Sie die Pakete samba-winbind und kerberos.

# yum install samba-winbind samba-winbind-clients samba krb5-libs  krb5-workstation pam_krb5

Schritt 2 :Zeitsynchronisation.

AD ist sehr wählerisch in Bezug auf den Zeitabgleich während der Authentifizierung. Daher sollten die Uhrzeit des Linux-Servers und des AD-Servers mit dem NTP-Server synchronisiert werden. Verwenden Sie den folgenden Befehl, um die Uhrzeit des Linux-Servers mit dem NTP-Server zu synchronisieren.

# ntpdate [ntp-server-ip-address/dns-name]

Um die obige Konfiguration dauerhaft zu machen, bearbeiten Sie die Datei „/etc/ntp.conf“ und ersetzen Sie einfach das, was dort ist, durch einen oder mehrere NTP-Server in Ihrer Domain, wie:

# vi /etc/ntp.conf
server [ntp-server-ip-address/dns-name]

Starten Sie den Dienst:

# /etc/init.d/ntpd start
# chkconfig ntpd on

Schritt 3 :Bearbeiten Sie die /etc/hosts-Datei.

# vi /etc/hosts
[ip-address]  adserver.yourdomain adserver

Schritt 4 :Bearbeiten Sie /etc/krb5.conf.

# vi /etc/krb5.conf
[domain_realm]
yourdomain = YOURDOMAIN
[libdefaults]
    ticket_lifetime = 24000
    default_realm = YOURDOMAIN
    dns_lookup_realm = true
    dns_lookup_kdc = false
    cache_type = 1
    forwardable = true
    proxiable = true
    default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
    permitted_enctypes = des3-hmac-sha1 des-cbc-crc
    allow_weak_crypto = no
[realms] 
    YOURDOMAIN = {
    kdc = [ip address of AD server:Port]
    admin_server = [ip address of AD server:Port]
    default_domain = yourdomain
  }
[appdefaults]
  pam = {
    debug = true
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false
  }
[logging]
  default = FILE:/var/krb5/kdc.log
  kdc = FILE:/var/krb5/kdc.log
  admin_server = FILE:/var/log/kadmind.log

Schritt 5 :Testen Sie jetzt die Kerberos-Authentifizierung.

# kinit [user-name]

Wenn Sie nach dem Passwort gefragt werden, geben Sie Ihr Benutzerkennwort ein. Wenn alles in Ordnung ist, erhalten wir die Eingabeaufforderung. Andernfalls überprüfen Sie die Datei krb5.conf erneut.

Schritt 6 :Jetzt Samba und Winbind konfigurieren.

Bearbeiten Sie /etc/samba/smb.conf .

# vi /etc/samba/smb.conf
[global]
    workgroup = [Workgroup-Name]
    netbios name = site2       ## replace the site2 with hostname
    realm = 
    security = ADS
    template shell = /bin/bash
    idmap backend = tdb
    idmap uid = 1-100000000
    idmap gid = 1-100000000
    winbind use default domain = Yes
    winbind nested groups = Yes
    winbind enum users = Yes
    winbind enum groups = Yes
    template shell = /bin/bash
    template homedir = /home/%D/%U
    winbind separator = /
    winbind nss info = sfu
    winbind offline logon = true
    hosts allow = 127.0.0.1 0.0.0.0/0
    obey pam restrictions = yes
    socket options = TCP_NODELAY
    max log size = 150
    passdb backend = tdbsam
    printing = cups
    load printers = yes
    cups options = raw
    printcap name = cups
    disable spoolss = Yes
    show add printer wizard = No
    interfaces = eth0 lo
    bind interfaces only = yes
    winbind refresh tickets = true
    log file = /var/log/samba/log.%m
    max log size = 50
    log level = 3
    encrypt passwords = yes
    #map untrusted to domain = yes
    #auth methods = winbind guest sam
    map untrusted to domain = Yes
[printers]
    comment = All Printers
    path = /var/spool/samba
    browseable = yes
    public = yes
    guest ok = yes
    writable = no
    printable = yes

Schritt 7 :Konfigurieren Sie /etc/nsswitch.conf Datei zur Handhabung der Authentifizierung.

# vi /etc/nsswitch.conf
passwd:   compat winbind
shadow:   winbind
group:      compat winbind

Schritt 8 :Starten Sie jetzt winbind &Samba-Dienste neu.

# /etc/init.d/smb restart
# /etc/init.d/winbind restart

Treten Sie jetzt einer Domäne bei:

# net ads join -U [User Name]

Wenn der obige Befehl „Join is OK“ meldet, dann teste winbind:

Befehl zum Auflisten aller AD-Benutzer:

# wbinfo -u

Schritt 9 :Führen Sie jetzt die Tests durch und versuchen Sie, sich über AD-Benutzeranmeldeinformationen beim Linux-Server anzumelden.

# ssh [username]@[ipaddress or hostname of linux server]


Cent OS

  1. Tipps und Tricks zur Verwendung von CUPS zum Drucken unter Linux

  2. So übertragen Sie Dateien zwischen Servern in Linux mit SCP und FTP

  3. Der Beitritt von Linux Samba Server zur Windows Active Directory-Domäne ist nicht möglich

  4. Auswählen von SSSD oder Winbind &Samba für die Active Directory-Integration in CentOS/RHEL

  5. Suchen und entfernen Sie Dateien mit Leerzeichen mit dem Befehl find unter Linux

So installieren Sie Webmin unter CentOS 8 und Rocky Linux 8

So führen Sie eine Samba Active Directory-Installation unter Linux durch

So verbinden Sie sich mit Samba mit Linux Active Directory

Patch-Management von Linux-Servern mit Spacewalk

Erkennen Sie Rootkits und Malware auf Linux-Servern mit rkhunter

Grundlagen der Linux-Befehlszeile – Arbeiten mit Dateien und Verzeichnissen