一、安裝AD域
運行dcpromo命令,安裝AD域。
步驟:
1.win+R
2.dcpromo
圖例:
百度百科關於“dcpromo”解釋:
dcpromo命令是一個“開關”命令。如果Windows 2000 Server計算機是成員服務器,則 運行dcpromo命令會安裝活動目錄,將其升級為域控制器;如果Windows 2000 Server計算機 已經是域控制器,則運行dcpromo命令會卸載活動目錄,將其降級為成員服務器。
二、常用功能
創建用戶、創建組織等等
三、禁用強制密碼策略
四、允許創建用戶登錄
把域控用戶添加到、、、、策略。
1、使用VM創建虛擬機,並設置靜態IP
使用NAT方式
1)設置Virtual NetWork Editor
需要注意將Use local DHCP service to distribute IP address to VMS 設置為取消選中狀態。
點擊NAT Settings查看網關IP
2)宿主機設置網絡共享
2、windows搭建AD域
請讀者參看:
http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG
3、Linux加入AD域
-
yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog
-
yum install samba-winbind samba samba-common samba-client samba-winbind-clients
1)修改DNS
(1) 編輯網卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0,添加DNS為AD域服務器地址,如:DNS1=192.168.56.10,其中192.168.56.10是AD域服務器IP。
(2) 編輯/etc/sysconfig/network更改主機名: 更改為長主機名,主機名加域名:例如域:domian.com,更改后的主機名host.domian.com.
(3) 執行service network restart,重啟網絡。
(4) 以上操作完成后,在命令行執行ping domain.com應該可以ping通,其中domain.com是AD域的域名。如果ping不通,請檢查防火牆以及DNS的配置。
2)時間同步
請讀者參看http://blog.csdn.net/ablo_zhou/article/details/5658916
3)加域
(1)setup命令
(2)
(3)
(4) 這里選擇/bin/bash
(5)
(6) 成功后將會顯示如下提示:
(7) 編輯/etc/samba/smb.conf,修改如下一行,可以實現登錄時不需要輸入域名 winbind use default domain = true
(8) 啟動相關服務並設置開機自啟動,執行如下命令:
Service smb start
Chkconfig smb on
4)測試加域是否成功
(1) # wbinfo –t ##測試RPC通訊,提示succeeded表示成功
cheTEST the trust secret for domain DOMAIN via RPC calls succeeded
(2)# wbinfo -u ##查看域用戶
DOMAIN\guest
DOMAIN\administrator
DOMAIN\krbtgt
DOMAIN\barlowliu
……以下省略……
(3) ##如果如上,則讀取正常
(4)# wbinfo -g ##查看域組
DOMAIN\domain computers
DOMAIN\cert publishers
DOMAIN\domain users
DOMAIN\domain guests
DOMAIN\ras and ias servers
DOMAIN\domain admins
DOMAIN\schema admins
DOMAIN\enterprise admins
……以下省略……
上述兩個命令執行后如果可以看到域中的用戶和組則正常。如果提示如下,則表示與域控制器同步還未完成。
(5)測試ntlm組件
// 關閉防火牆
ntlm_auth --username=administrator
password: ##輸入用戶密碼
NT_STATUS_OK: Success (0x0)
(6)驗證代域
# net ads testjoin
Join is OK
4. 創建共享目錄,即用戶家目錄
(1) 創建用戶家目錄,在此以/apps為例,具體目錄可以自己規定,注意/etc/samba/smb.conf配置文件也要相應的改變,並要把家目錄設為共享目錄,
共享目錄設置請參考nfs文件共享
mkdir /apps
chmod 777 /apps
(2) 編輯文件/etc/samba/smb.conf,在[global]添加如下幾行:
template homedir = /apps/%D/%U
follow symlinks = yes
wide links = yes
unix extensions = no
在[homes]下添加如下幾行:
[homes]
comment = Home Directories
read only = no
writeable = yes
(3)編輯/etc/pam.d/system-auth以及/etc/pam.d/sshd,兩個文件中都加入如下一行:
session required pam_mkhomedir.so skel=/etc/skel umask=0077
(4)啟動相關服務,執行如下三個命令
service smb restart
(5) 測試家目錄是否可以成功創建,在命令行su成AD域用戶jhadmin,在家目錄/apps/domain下查看是否創建用戶的家目錄(與jhadmin同名的目錄),
如果成功創建,則相關配置正確。
5. 解決uid不同問題
將以下內容拷貝到/etc/samba/smb.conf的[global]中
idmap uid =20000-29999
idmap gid =20000-29999
idmap config domain:backend= rid
idmap config domain:range = 20000000-29999999 注意:domain(為短域名大寫)
winbind enum users =yes
winbind enum groups= yes
winbind separator =+
注:如果uid仍不統一,則需要清理samba數據庫:rm –rf /var/lib/samba/*.tdb,然后重新加域。
6. 使用域賬戶直接登錄
重新啟動linux,賬戶名輸入域賬戶,傳統為HADOOP\user ,經過上述配置讀者可以直接使用用戶名稱,而不用再加短域名。