作者 主題: [教學]Linux用winbind與AD認證 簡易版  (閱讀 17872 次)

0 會員 與 1 訪客 正在閱讀本文。

acty

  • 鑽研的研究生
  • *****
  • 文章數: 694
    • 檢視個人資料
    • UNIX 管理者的學習紀錄
[教學]Linux用winbind與AD認證 簡易版
« 於: 2006-02-01 12:11 »
Linux用winbind與AD認證  簡易版

(*註: 只在CentOS, Fedora 測試過, Redhat 9 以下沒測過)
很多人都希望自己的 Linux 可以與 AD 整合
不過目前看到的設定教學都需要設定很多檔案
一開始我也是看旗標出的「 Linux 與 Windows 共舞」
搞了很久才弄出來了

不過後來不小心弄出一個很簡易方法
順便重新整理之前回覆的 POST


假設 AD 環境如下
      AD Domain 為 TW
      AD Realm 為 TW.COMP.CORP
      AD Controls (即 DC )為 192.168.1.1, 192.168.1.2 兩台
      AD Time Server 在 192.168.1.1

1. 校時
    與 AD 做認證  機器必須與 AD 的時間需一致
    請安裝 ntp
    執行 ntpdate 192.168.1.1. (請與 AD校時)
 
    設定 /etc/ntpd.conf  
    加入 server 192.168.1.1
    chkconfig ntpd on
    service ntpd start

2. 請確定已經安裝 samba 及 samba-common

若如直接執行 yum install 或 rpm -ivh 等等
#yum install samba samba-common

3. 打 setup
#setup

選 Authentication configuration
進去選 Use Winbind 及 Use Winbind Authentication
再進去輸入你 AD 的 Information 即可
如果不要讓 user 登入 請選 /sbin/nologin 作為使用者的 logon shell


下面是參考
Security Model: (*) ads
Domain: TW
Domain Controllers: 192.168.1.1,192.168.1.2
ADS Realm: TW.TOPCOMP.CORP
Template Shell: (*) /bin/bash

接著再敲 Administartors 的帳號及密碼即可

你所做的設定最後會寫到
a. /etc/samba/smb.conf
b. /etc/krb5.conf
c. /var/kerberos/krb5kdc/kdc.conf
d. /etc/nssswitch.conf

最後請確認 winbind 有啟動之後就可以使用 AD account
chkconfig winbind on
server start winbind
(ps. smb 服務不需要,除非你要做分享檔案,否則也不用安裝 samba-server)

4. 測試
    假設你有的帳號為 test 密碼為 test123
    你可以用  TW/test 登入  密碼為 test123


ps.  軟體清單
krb5-libs
krb5-workstation
ntp
samba
samba-common
setuptool
~~破窗計畫來囉~~~

學習與挑戰是我的樂趣... HIT!!
我知道的不多  但歡迎大家以起來討論

UNIX 管理者的學習紀錄 - http://actychen.wordpress.com

secondlife

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
回覆: [教學]Linux用winbind與AD認證 簡易版
« 回覆 #1 於: 2010-09-02 15:12 »
acty大~
謝謝您的分享,小弟參考了您的文章後,LINUX順利得以AD做帳號認證!
但想請教您一下,是否有發現"密碼會暫存"的問題!

舉例說:
一.在AD內新增一位使用者"sam",密碼設為"1234".
二.在Linux系統內,使用此網域帳號登入ssh   #  ssh sam@localhost  密碼輸入"1234",是可以正常SSH登入!
三.在到AD將該使用者密碼變更為"5678"
四.此時,再到Linux主機上再用此使用者作SSH登入,密碼無論是用"1234"或"5678"皆可登入成功??

請問您知道這是哪方面的問題呢?
可否指點一下!!
網路上很多用Winbind + AD 的文章,但似乎都沒有特別提到此點!

yanchun0712

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
回覆: [教學]Linux用winbind與AD認證 簡易版
« 回覆 #2 於: 2010-09-23 10:53 »
我在做实验的过程中也遇到了楼上仁兄的问题~
而且还有一点,就是,如果域用户登录到Linux以后,能有办法实现,在Linux上修改用户密码并同步到DC上么?
请指点,感激ing......

rainday

  • 鑽研的研究生
  • *****
  • 文章數: 730
  • 性別: 男
  • enhancing and optimizing
    • 檢視個人資料
回覆: [教學]Linux用winbind與AD認證 簡易版
« 回覆 #3 於: 2010-09-23 19:12 »
AD 舊密碼失效是有設定值在控制的
http://technet.microsoft.com/en-us/library/cc875814.aspx
Minimum password age determines how many days a user must keep new passwords before they can change them.
<0  =_=  Don't learn to hack , hack to learn.

apage

  • 活潑的大學生
  • ***
  • 文章數: 334
    • 檢視個人資料
Re: 回覆: [教學]Linux用winbind與AD認證 簡易版
« 回覆 #4 於: 2012-01-08 11:07 »
acty大~
謝謝您的分享,小弟參考了您的文章後,LINUX順利得以AD做帳號認證!
但想請教您一下,是否有發現"密碼會暫存"的問題!

舉例說:
一.在AD內新增一位使用者"sam",密碼設為"1234".
二.在Linux系統內,使用此網域帳號登入ssh   #  ssh sam@localhost  密碼輸入"1234",是可以正常SSH登入!
三.在到AD將該使用者密碼變更為"5678"
四.此時,再到Linux主機上再用此使用者作SSH登入,密碼無論是用"1234"或"5678"皆可登入成功??

請問您知道這是哪方面的問題呢?
可否指點一下!!
網路上很多用Winbind + AD 的文章,但似乎都沒有特別提到此點!

這是一個NSCD的服務,關掉就可以了。
我的筆記
啊,就我的筆記阿...
-----以下兩個是屍體-----
AegisHK
Aegis
eAthena屍體
eathena