精華區 > 酷!學園 精華區

[教學]Linux用winbind與AD認證 簡易版

(1/1)

acty:
Linux用winbind與AD認證  簡易版

(*註: 只在CentOS, Fedora 測試過, Redhat 9 以下沒測過)
很多人都希望自己的 Linux 可以與 AD 整合
不過目前看到的設定教學都需要設定很多檔案
一開始我也是看旗標出的「 Linux 與 Windows 共舞」
搞了很久才弄出來了

不過後來不小心弄出一個很簡易方法
順便重新整理之前回覆的 POST


假設 AD 環境如下
      AD Domain 為 TW
      AD Realm 為 TW.COMP.CORP
      AD Controls (即 DC )為 192.168.1.1, 192.168.1.2 兩台
      AD Time Server 在 192.168.1.1

1. 校時
    與 AD 做認證  機器必須與 AD 的時間需一致
    請安裝 ntp
    執行 ntpdate 192.168.1.1. (請與 AD校時)
 
    設定 /etc/ntpd.conf  
    加入 server 192.168.1.1
    chkconfig ntpd on
    service ntpd start

2. 請確定已經安裝 samba 及 samba-common

若如直接執行 yum install 或 rpm -ivh 等等
#yum install samba samba-common

3. 打 setup
#setup

選 Authentication configuration
進去選 Use Winbind 及 Use Winbind Authentication
再進去輸入你 AD 的 Information 即可
如果不要讓 user 登入 請選 /sbin/nologin 作為使用者的 logon shell


下面是參考
Security Model: (*) ads
Domain: TW
Domain Controllers: 192.168.1.1,192.168.1.2
ADS Realm: TW.TOPCOMP.CORP
Template Shell: (*) /bin/bash

接著再敲 Administartors 的帳號及密碼即可

你所做的設定最後會寫到
a. /etc/samba/smb.conf
b. /etc/krb5.conf
c. /var/kerberos/krb5kdc/kdc.conf
d. /etc/nssswitch.conf

最後請確認 winbind 有啟動之後就可以使用 AD account
chkconfig winbind on
server start winbind
(ps. smb 服務不需要，除非你要做分享檔案,否則也不用安裝 samba-server)

4. 測試
    假設你有的帳號為 test 密碼為 test123
    你可以用  TW/test 登入  密碼為 test123


ps.  軟體清單
krb5-libs
krb5-workstation
ntp
samba
samba-common
setuptool

secondlife:
acty大~
謝謝您的分享,小弟參考了您的文章後,LINUX順利得以AD做帳號認證!
但想請教您一下,是否有發現"密碼會暫存"的問題!

舉例說:
一.在AD內新增一位使用者"sam",密碼設為"1234".
二.在Linux系統內,使用此網域帳號登入ssh   #  ssh sam@localhost  密碼輸入"1234",是可以正常SSH登入!
三.在到AD將該使用者密碼變更為"5678"
四.此時,再到Linux主機上再用此使用者作SSH登入,密碼無論是用"1234"或"5678"皆可登入成功??

請問您知道這是哪方面的問題呢?
可否指點一下!!
網路上很多用Winbind + AD 的文章,但似乎都沒有特別提到此點!

yanchun0712:
我在做实验的过程中也遇到了楼上仁兄的问题~
而且还有一点，就是，如果域用户登录到Linux以后，能有办法实现，在Linux上修改用户密码并同步到DC上么？
请指点，感激ing......

rainday:
AD 舊密碼失效是有設定值在控制的
http://technet.microsoft.com/en-us/library/cc875814.aspx
Minimum password age determines how many days a user must keep new passwords before they can change them.

apage:

--- 引述: secondlife 於 2010-09-02 15:12 ---acty大~
謝謝您的分享,小弟參考了您的文章後,LINUX順利得以AD做帳號認證!
但想請教您一下,是否有發現"密碼會暫存"的問題!

舉例說:
一.在AD內新增一位使用者"sam",密碼設為"1234".
二.在Linux系統內,使用此網域帳號登入ssh   #  ssh sam@localhost  密碼輸入"1234",是可以正常SSH登入!
三.在到AD將該使用者密碼變更為"5678"
四.此時,再到Linux主機上再用此使用者作SSH登入,密碼無論是用"1234"或"5678"皆可登入成功??

請問您知道這是哪方面的問題呢?
可否指點一下!!
網路上很多用Winbind + AD 的文章,但似乎都沒有特別提到此點!

--- 引用結尾 ---

這是一個NSCD的服務，關掉就可以了。

導覽

[0] 文章列表