酷!學園

精華區 => 酷!學園 精華區 => 主題作者是: alien 於 2005-04-28 13:30

主題: Linux用winbind與AD認證筆記
作者: alien2005-04-28 13:30
筆記參考來源~
施威銘 lunix與Windows異質平台整合
酷學園討論區  

第一節、Linux採用AD認證
   假設 區域網路中AD主機為 server.test.com.tw 、IP為192.168.0.86
  (一).設定samba
[root@linux2 /]# vi /etc/samba/smb.comf
    [global]

# workgroup = NT-Domain-Name or Workgroup-Name
     workgroup = test  ---指定網域名稱
     realm = test.com.tw  ---完整網域名稱
# server string is the equivalent of the NT Description field
 netbios name = Data_Server ---Samba主機名稱
     server string = Linux  --- 主機描述
……………………………………………………………………………
…………………………………………………………………………………….
# Security mode. Most people will want user level security. See
# security_level.txt for details.
    security = ads  ---設定安全等級為AD ,表示由AD來做帳號認證
# Use password server option only with security = server
;   password server = <NT-Server-Name>
     password server = server.test.com.tw
   
# Password Level allows matching of _n_ characters of the password
# all combinations of upper and lower case.
;  password level = 8
;  username level = 8

# You may wish to use password encryption. Please read
# ENCRYPTION.txt, Win95.txt and WinNT.txt in the Samba documentation.
# Do not enable this option unless you have read those documents
encrypt passwords = yes ---採用編碼方式傳遞密碼
;  smb passwd file = /etc/samba/smbpasswd


存檔離開
  (二) 如果沒有DNS做轉址,那必須修改hosts檔,位置在 /etc/hosts
    [root@linux2 /]# vi /etc/hosts
    # Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1           linux2.test.com.tw linux2 localhost.localdomain localhost
192.168.0.86          server.test.com.tw test.com.tw

  (三) 修改Kerberos 位置在 /etc/krb5.conf
[logging]
   default = FILE:/var/log/krb5libs.log
   kdc = FILE:/var/log/krb5kdc.log
   admin_server = FILE:/var/log/kadmind.log

[libdefaults]
   default_realm = SERVER.TEST.COM.TW ---改成AD主機
   dns_lookup_realm = false
   dns_lookup_kdc = false

[realms]
   TEST.COM.TW = {  ---改成網域
   kdc = SERVER.TEST.COM.TW:88
   admin_server = SERVER.TEST.COM.TW:749 ---AD主機名稱
   default_domain = TEST.COM.TW ----網域名稱
  }

[domain_realm]
  .example.com = TEST.COM.TW
  .example.com = TEST.COM.TW

   (四) 修改 /var/kerberos/krb5kdc/kdc.conf  (如果沒有此檔案,則代表未安裝krb5-server,請由光碟安裝)
   [root@linux2 /]#vi /var/Kerberos/krb5kdc/kdc.conf
[kdcdefaults]
acl_file = /var/Kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/word
admin_keytab = /var/Kerberos/krb5kdc/kadm5.keytab
v4_mode = nopreauth

 [realms]
TEST.COM.TW = {   ---網域名稱
Master_key_type = des-cdc-crc
Supported_enctypes = arcfour-hmac:normal arcfour-hma

(五)測試連線
   [root@linux2 /]# kinit  administrator@TEST.COM.TW
   如果正常則會跳回命令提示字元
   網域名稱是大寫喔
   AD主機與Linux主機兩台時間不得相差超過5分鐘
(六)將Samba主機加入網域
   [root@linux2 /]# service smb restart
[root@linux2 /]# net ads join
當出現 Joined “Linux” to realm “test.com.tw” 則代表成功。

(七)Winbind運作
   (1) 設定NSS設定檔  設定檔在 /etc/nsswitch.conf
       [root@linux2 /]# vi /etc/nssswitch.conf
       # Example:
#passwd:    db files nisplus nis
#shadow:    db files nisplus nis
#group:     db files nisplus nis

passwd:     files  winbind &szlig;加入winbind
shadow:     files
group:      files  winbind &szlig;加入 winbind

#hosts:     db files nisplus nis dns
hosts:      files dns

(八) 修改gid與uid的範圍(linux從AD抓取過來的帳號)
     及目錄
     [root@linux2 /]vi /etc/samba/smb.conf
idmap uid = 16777000-33550000
idmap gid = 16777000-33550000
template shell = /bin/bash
winbind use default domain = yes
template  homedir = /home/winnt/%D/%U
    重新啟動Samba
    [root@linux2 /]# service smb restart
(九) 啟動winbind
[root@linux2 /]# chkconfig winbind on
[root@linux2 /]# service winbind start

(十) 測試取得AD帳號資訊
     [root@linux2 /]# wbinfi –u  
     或
     [root@linux2 /]# getent  passwd
(十一) 設定本機uid與gid 發放範圍,以避免Linux帳號與AD帳號衝突
     修改的檔案在 /etc/login.defs
     [root@linux2 /]# vi /etc/login.defs
     # Min/max values for automatic uid selection in useradd
#
UID_MIN                   500
UID_MAX                  9999 ---修改為9999
#
# Min/max values for automatic gid selection in groupadd
#
GID_MIN                   500
GID_MAX                  9999 ---修改為9999
#
     
(十二) 整合
(1)   我們必須建立AD帳號在Linux的虛擬目錄,由於AD帳號過多的狀況下我們一個個建立會浪費時間,所以我們可以利用指令稿來快速建立
在root 的目錄底下 我們新增一個檔案mknthome.awk
[root@linux2 ~]# vi mknthome.awk
內容如下
#!/bin/awk
          BEGIN {
          FS = “:”
          uidmin = 16777000
          uidmax = 33550000

 
          }
 
          {
           if ($3 >= uidmin  &&  $3  <= uidmax )   {
            print  “\nmake  directory  “  $6  “\nchown  “  $3  “.”  $4   “  “  S6
            system ( “mkdir   -p  “ $6 “ ;chown “ $3 “.”  $4  “ “  $6  )
            }
            }

(2)   開始建立家目錄了
[root@linux2 ~]# getent  passwd  | awk   -f  mknthome.awk
此時你會看到畫面自動幫你建立帳號了,如果沒有請檢查mknthome指令稿有沒有錯

(3)開始整合帳號
   依照我們的需求來修改ssh smtp  dovecot 等等檔案
   目錄分別為目錄分別在 /etc/pam.d/sshd  /etc/pam.d/smtp  /etc/pam.d/dovecot
   先修改 ssh
   [root@linux2 /]# vi /etc/pam.d/sshd
   #%PAM-1.0
auth       sufficient   pam_winbind.so ---加入這行
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
account    sufficient    pam_winbind.so ---加入這行
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth

修改 smtp
[root@linux2 /]# vi /etc/pam.d/smtp
#%PAM-1.0
auth       sufficient    pam_winbind.so ---加入這行
auth       required     pam_stack.so service=system-auth
account    sufficient    pam_winbind.so ---加入這行
account    required     pam_stack.so service=system-auth

修改 dovecot
[root@linux2 /]# vi /etc/pam.d/dovecot
#%PAM-1.0
auth       sufficient    pam_winbind.so ---加入這行
auth       required     pam_nologin.so
auth       required     pam_stack.so service=system-auth
account    sufficient    pam_winbind.so ---加入這行
account    required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
主題: Re: Linux用winbind與AD認證筆記
作者: aaron2005-04-29 10:35
帳號整合這樣很方便說 ^_^
引述: "alien"
(十) 測試取得AD帳號資訊
[root@linux2 /]# wbinfi –u

[root@linux2 /]# getent passwd


應該是
[root@linux2 /]# wbinfo -u
主題: Linux用winbind與AD認證筆記
作者: alien2005-05-02 14:10
對不起
打錯了 的確在取得帳號資訊是wbinfo -u
主題: Linux用winbind與AD認證筆記
作者: elanvital2005-06-08 23:56
請問學長....
以上我都執行成功了,也順利從AD上把USER的HOME 目錄建出來了,
但/etc/passwd郤沒有AD上USER的帳號,且我用AD上的帳號使用SSH
都說沒有這個使用者......請問我那一個地方沒有作到........
我是用SAMBA-3.0.3-5   FC2        
 :oops:  :oops:
主題: Linux用winbind與AD認證筆記
作者: aaron2005-07-06 14:18
我有一台File Server & Mail Server都是用AD做帳號認證,之前一直運作的非常的穩定,但最近不知怎麼搞的,Server會找不到使用者帳號及密碼,需再下一次
代碼: [選擇]
getent passwd

wbinfo -u

才可以找到使用者,但過了一分鐘後又要再下一次指令。
會不會太神奇啊
我只是更新windows 2000 SP4 更新彙總 & upgrade FC2 & FC3的軟體
(因為是同時做的,重開機就這樣了,所以較難確認那一個的關係)
救人哦~~~~我現在定每分鐘執行一次getent passwd用戶才感覺沒什麼大問題
 :o  :o  :o
主題: Linux用winbind與AD認證筆記
作者: echopark2005-07-07 07:53
嗨~~~目前我也是用了這個方法想做到整合帳號的功能,從wbinfo -u和getent passwd去取得AD帳號資訊都沒問題,當我整合到TELNET的時候,剛開始使用domain帳號登入都ok ,差不多過了5分鐘便會開始出現這錯誤"User not known to the underlying authentication module"然後就無法再登入了,要重新開機以後才又恢復正常,但過了5分鐘又不行了請教各位大大,這是什麼問題阿???已經找很久了,設定都沒問題...救命阿!!!
主題: Linux用winbind與AD認證筆記
作者: 日京三子2005-07-07 08:08
引述: "echopark"
嗨~~~目前我也是用了這個方法想做到整合帳號的功能,從wbinfo -u和getent passwd去取得AD帳號資訊都沒問題,當我整合到TELNET的時候,剛開始使用domain帳號登入都ok ,差不多過了5分鐘便會開始出現這錯誤"User not known to the underlying authentication module"然後就無法再登入了,要重新開機以後才又恢復正常,但過了5分鐘又不行了請教各位大大,這是什麼問題阿???已經找很久了,設定都沒問題...救命阿!!!
可能是主機端太過忙碌而斷線了. 朝這方面去找尋問題?
主題: Linux用winbind與AD認證筆記
作者: echopark2005-07-07 09:02
謝謝日京三子大大的回覆..那是一但我一開始登入成功以後就可以一直連線而且都正常...但過了五分鐘以後想要連線的USER都會出現錯誤而無法連線...也就是說在那差不多5分鐘時間內想登入的人都ok,但超過差不多五分鐘以後便無法登入而原本之前已成功登入的user都可以正常使用
主題: Linux用winbind與AD認證筆記
作者: 日京三子2005-07-07 09:18
引述: "echopark"
謝謝日京三子大大的回覆..那是一但我一開始登入成功以後就可以一直連線而且都正常...但過了五分鐘以後想要連線的USER都會出現錯誤而無法連線...也就是說在那差不多5分鐘時間內想登入的人都ok,但超過差不多五分鐘以後便無法登入而原本之前已成功登入的user都可以正常使用
所以, 按照你的描述, 我會猜是主機忙過頭了, 所以後面的人想要連線都不行.
主題: Linux用winbind與AD認證筆記
作者: echopark2005-07-07 09:24
謝謝...乾脆來弄個獨立的DC測試看看...
主題: Linux用winbind與AD認證筆記
作者: aaron2005-07-07 10:14
引述: "echopark"
謝謝日京三子大大的回覆..那是一但我一開始登入成功以後就可以一直連線而且都正常...但過了五分鐘以後想要連線的USER都會出現錯誤而無法連線...也就是說在那差不多5分鐘時間內想登入的人都ok,但超過差不多五分鐘以後便無法登入而原本之前已成功登入的user都可以正常使用


想問一下,你的AD是架在Windows 2000 Server 或Windows 2003 Server,Winbind是在那個平台Run的,是Fedora core 2 或Feodra core 3又彧是Debian,另外有做什麼更新動作嗎,一起來找原因吧。 :wink:
主題: Linux用winbind與AD認證筆記
作者: echopark2005-07-07 10:43
引述: "aaron"
引述: "echopark"
謝謝日京三子大大的回覆..那是一但我一開始登入成功以後就可以一直連線而且都正常...但過了五分鐘以後想要連線的USER都會出現錯誤而無法連線...也就是說在那差不多5分鐘時間內想登入的人都ok,但超過差不多五分鐘以後便無法登入而原本之前已成功登入的user都可以正常使用


想問一下,你的AD是架在Windows 2000 Server 或Windows 2003 Server,Winbind是在那個平台Run的,是Fedora core 2 或Feodra core 3又彧是Debian,另外有做什麼更新動作嗎,一起來找原因吧。 :wink:


目前我的測試環境是..windows2003的AD...REDHAT9.0+ samba-3.0.20pre1-1那作法是跟alien大大所寫的一樣,還有一個怪問題,因為那台DC上面有WINS我在redhat那台去getent passwd的時候會把電腦名稱也get進來
不知道這樣算不算正常@@
主題: Linux用winbind與AD認證筆記
作者: binhu2005-07-07 16:09
心得分享~~
最近小弟也在用整合帳號的問題
我是用centos 3.4和win2003 sp1

用裏面的rpm來處理時,也是無法成功~~
後來就上samba的網站抓最新的tar來編譯
安裝流程沒有變~~~
後來就一次成功

現在使用ad的帳號的linux服物有ssh  postfix
主題: Linux用winbind與AD認證筆記
作者: aaron2005-07-07 18:10
我目前在Fedora core 2 & Fedora core 3上用samba 3.10
搭配Windows 2000 Server AD,Windows 2000 Server更新了
"Windows 2000 Service Pack 4 更新彙總套件 1"就會出現
Winbind隔段時間就失效的問題,移除
"Windows 2000 Service Pack 4 更新彙總套件 1"重新開機,
帳號認證即可正常。

看來問題是在於Fedora 的SAMBA不夠新,本人基於上線Server
沒那麼大的膽子來自行安裝編譯新版SAMBA,所以還是用
SAMBA 3.10搭配未更新"Windows 2000 Service Pack 4 更新彙總套件 1"的
Windows 2000 Server AD。

至於Windows 2003 Server AD的問題,想問問有更新Service Pack嗎
 :D  :D  :D
主題: Linux用winbind與AD認證筆記
作者: binhu2005-07-07 18:35
引述: "aaron"
我目前在Fedora core 2 & Fedora core 3上用samba 3.10
搭配Windows 2000 Server AD,Windows 2000 Server更新了
"Windows 2000 Service Pack 4 更新彙總套件 1"就會出現
Winbind隔段時間就失效的問題,移除
"Windows 2000 Service Pack 4 更新彙總套件 1"重新開機,
帳號認證即可正常。

看來問題是在於Fedora 的SAMBA不夠新,本人基於上線Server
沒那麼大的膽子來自行安裝編譯新版SAMBA,所以還是用
SAMBA 3.10搭配未更新"Windows 2000 Service Pack 4 更新彙總套件 1"的
Windows 2000 Server AD。

至於Windows 2003 Server AD的問題,想問問有更新Service Pack嗎
 :D  :D  :D

我有上win2k3的sp1,後來在測整合時一直失敗,後來上samba網站才知,最新的3.014a 有修覆一些問題
現在openwebmail也整合ok,現在暫時還沒有發現問題~~
ps:我沒有使用samba的功能,我只拿裏面的winbind的功能,所以我也不知編譯出來的samba是否可分享目錄出來~ :oops:
主題: Linux用winbind與AD認證筆記
作者: JulianLiu2005-07-07 18:48
請問一下:
我使用Fedora core 3 + samba-3.0.8-pre1.3

參考上面的設定方法後,在join win2k domain的時候,出現下列訊息:

libads/ldap.c:ads_join_realm(1640)
ads_add_machine_acct (hostname) : Type or Value exists
ads_join_realm:Type or Value exists

在AD DB中檢查過並無此台samba server的相關訊息。

所以想請問有人遇過相關情形嗎?

謝謝。
主題: Linux用winbind與AD認證筆記
作者: cboy2005-07-11 16:36
請問如果打net ads join 反應command not found
要該庄什麼軟體呢 ? 謝謝
主題: Linux用winbind與AD認證筆記
作者: binhu2005-07-11 19:36
引述: "cboy"
請問如果打net ads join 反應command not found
要該庄什麼軟體呢 ? 謝謝

查一下samba是否有少安裝東西
主題: Linux用winbind與AD認證筆記
作者: cboy2005-07-11 19:44
嗯 2.X的版本好像沒這個指令
主題: Linux用winbind與AD認證筆記
作者: echopark2005-07-12 12:32
恩恩..我之前用samba2.多版本的時候也是沒有,似乎要3.0版本以上才有支援,目前小弟又遇到了個問題,我測試telnet的時候都很ok,但我用rpm另外裝了proftp以後,是否也是在pam.d裡面的ftp作設定讓它使用winbind作認證??因為我設了以後似乎沒效,但我又找不到proftp的相關設定檔.
主題: Linux用winbind與AD認證筆記
作者: Line2005-07-14 09:14
引述: "aaron"
我目前在Fedora core 2 & Fedora core 3上用samba 3.10
搭配Windows 2000 Server AD,Windows 2000 Server更新了
"Windows 2000 Service Pack 4 更新彙總套件 1"就會出現
Winbind隔段時間就失效的問題,移除
"Windows 2000 Service Pack 4 更新彙總套件 1"重新開機,
帳號認證即可正常。

看來問題是在於Fedora 的SAMBA不夠新,本人基於上線Server
沒那麼大的膽子來自行安裝編譯新版SAMBA,所以還是用
SAMBA 3.10搭配未更新"Windows 2000 Service Pack 4 更新彙總套件 1"的
Windows 2000 Server AD。

至於Windows 2003 Server AD的問題,想問問有更新Service Pack嗎
 :D  :D  :D


最近也是用 fc3 裡面的 samba 是 3.0.10 版的,
測試的平台為 Windows 2000 sp4 (用整合sp4光碟安裝的)
也是經過一段時間後會連不上
可是在 linux 本機上用 smbclient -L //hostname -U username
是可以連得上的,
將 samba 重新啟動之後,又可以連上囉!

請問一下,有那位大大解決了這個困擾啊!
主題: Linux用winbind與AD認證筆記
作者: changchichung2005-07-14 13:06
引述: "JulianLiu"
請問一下:
我使用Fedora core 3 + samba-3.0.8-pre1.3

參考上面的設定方法後,在join win2k domain的時候,出現下列訊息:

libads/ldap.c:ads_join_realm(1640)
ads_add_machine_acct (hostname) : Type or Value exists
ads_join_realm:Type or Value exists

在AD DB中檢查過並無此台samba server的相關訊息。

所以想請問有人遇過相關情形嗎?

謝謝。


我的環境也是 Win2000 SP4 , FC3 + samba-3.0.8-pre1.3
也有相同的狀況,問過google,都沒有相關的回答
後來升級 Samba 版本(samba-3.0.10-1.fc3)之後就可以了
提供給大家參考
主題: Linux用winbind與AD認證筆記
作者: linabc2005-07-26 15:51
請問各位大大..
如果有subdomain(subdomain.test.com.tw)的環境,有人有實作過嗎?

小弟目前是用CentOS4.1
認證Win2000Server SP4(test.com.tw)帳號OK
主題: Linux用winbind與AD認證筆記
作者: echopark2005-08-01 14:47
hi...目前小弟遇到一個問題在帳號整合認證都沒問題,小弟做了一個測試,我在windows上面做更改密碼的動作,之後再利用winbind做認證..但是卻發現舊密碼和新密碼都可以用....不知道是否有人遇到一樣的問題.
主題: Linux用winbind與AD認證筆記
作者: binhu2005-08-01 14:54
引述: "echopark"
hi...目前小弟遇到一個問題在帳號整合認證都沒問題,小弟做了一個測試,我在windows上面做更改密碼的動作,之後再利用winbind做認證..但是卻發現舊密碼和新密碼都可以用....不知道是否有人遇到一樣的問題.


要不要試著重開winbind跟samba呢,說不定就正常了
我發現有時ad重開後,如winbind沒有重開會發生怪怪的~~
主題: SAMBA 與 AD
作者: jovy2005-09-29 17:35
我用CentOS4.1加Win2000 SP4

在一般的Share Folder 都沒有問題.
但User 卻沒辦法進入自己的home directory.
只要點進Home Directory,就會出現輸入帳號密碼的視窗,

請問有辦法解決嗎!?
因為我只會用rpm安裝..
如果要去下載Tar來安裝的話,
有沒有可以參考的安裝文件呢!?

[root@localhost ~]# wbinfo -u
Administrator
Guest
IWAM_DC-TC3000
IUSR_DC-TC3000
TsInternetUser
krbtgt
DC-TC3000$

以下是smb.con
[global]
        workgroup       = TEST
        realm           = test.com.tw
        netbios name    = SAMBA
        server string   = Samba Server
        security        = ads
        password server = dc.test.com.tw
        encrypt passwords = yes

        idmap uid = 10000-99999
        idmap gid = 10000-99999
        winbind enum users      =yes
        winbind enum groups     =yes
        nt acl support          =yes
        template shell = /bin/bash
        winbind use default domain = yes

[homes]
        comment = Home Directories
        browseable = no
        writable = yes
        valid users = %S
主題: Linux用winbind與AD認證筆記
作者: acty2005-10-13 01:55
問個問題 getent passwd 後  需要把得到的東西加進去 /etc/passwd 檔嗎
主題: Re: Linux用winbind與AD認證筆記
作者: akong2005-11-24 15:59
引述: "alien"
筆記參考來源~
施威銘 lunix與Windows異質平台整合
酷學園討論區  

第一節、Linux採用AD認證
   假設 區域網路中AD主機為 server.test.com.tw 、IP為192.168.0.86
  (一).設定samba
[root@linux2 /]# vi /etc/samba/smb.comf
    [global]

# workgroup = NT-Domain-Name or Workgroup-Name
     workgroup = test  ---指定網域名稱
     realm = test.com.tw  ---完整網域名稱
# server string is the equivalent of the NT Description field
 netbios name = Data_Server ---Samba主機名稱
     server string = Linux  --- 主機描述
……………………………………………………………………………
…………………………………………………………………………………….
# Security mode. Most people will want user level security. See
# security_level.txt for details.
    security = ads  ---設定安全等級為AD ,表示由AD來做帳號認證
# Use password server option only with security = server
;   password server = <NT-Server-Name>
     password server = server.test.com.tw
   
# Password Level allows matching of _n_ characters of the password
# all combinations of upper and lower case.
;  password level = 8
;  username level = 8

# You may wish to use password encryption. Please read
# ENCRYPTION.txt, Win95.txt and WinNT.txt in the Samba documentation.
# Do not enable this option unless you have read those documents
encrypt passwords = yes ---採用編碼方式傳遞密碼
;  smb passwd file = /etc/samba/smbpasswd


存檔離開
  (二) 如果沒有DNS做轉址,那必須修改hosts檔,位置在 /etc/hosts
    [root@linux2 /]# vi /etc/hosts
    # Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1           linux2.test.com.tw linux2 localhost.localdomain localhost
192.168.0.86          server.test.com.tw test.com.tw

  (三) 修改Kerberos 位置在 /etc/krb5.conf
[logging]
   default = FILE:/var/log/krb5libs.log
   kdc = FILE:/var/log/krb5kdc.log
   admin_server = FILE:/var/log/kadmind.log

[libdefaults]
   default_realm = SERVER.TEST.COM.TW ---改成AD主機
   dns_lookup_realm = false
   dns_lookup_kdc = false

[realms]
   TEST.COM.TW = {  ---改成網域
   kdc = SERVER.TEST.COM.TW:88
   admin_server = SERVER.TEST.COM.TW:749 ---AD主機名稱
   default_domain = TEST.COM.TW ----網域名稱
  }

[domain_realm]
  .example.com = TEST.COM.TW
  .example.com = TEST.COM.TW

   (四) 修改 /var/kerberos/krb5kdc/kdc.conf  (如果沒有此檔案,則代表未安裝krb5-server,請由光碟安裝)
   [root@linux2 /]#vi /var/Kerberos/krb5kdc/kdc.conf
[kdcdefaults]
acl_file = /var/Kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/word
admin_keytab = /var/Kerberos/krb5kdc/kadm5.keytab
v4_mode = nopreauth

 [realms]
TEST.COM.TW = {   ---網域名稱
Master_key_type = des-cdc-crc
Supported_enctypes = arcfour-hmac:normal arcfour-hma

(五)測試連線
   [root@linux2 /]# kinit  administrator@TEST.COM.TW
   如果正常則會跳回命令提示字元
   網域名稱是大寫喔
   AD主機與Linux主機兩台時間不得相差超過5分鐘
(六)將Samba主機加入網域
   [root@linux2 /]# service smb restart
[root@linux2 /]# net ads join
當出現 Joined “Linux” to realm “test.com.tw” 則代表成功。

請問一下
當我輸入net ads join
並輸入完root的帳密
出現如下的錯誤訊息
[root@swl-118 ~]# net ads join
root's password:
[2005/11/24 16:06:41, 0] libads/kerberos.c:ads_kinit_password(146)
  kerberos_kinit_password root@ETA.COM.TW failed: Client not found in Kerberos database
[2005/11/24 16:06:41, 0] utils/net_ads.c:ads_startup(191)
  ads_connect: Client not found in Kerberos database
請問是我哪裡做錯了呢
主題: Re: Linux用winbind與AD認證筆記
作者: 日京三子2005-11-24 16:13
引述: "akong"
[2005/11/24 16:06:41, 0] libads/kerberos.c:ads_kinit_password(146)
  kerberos_kinit_password root@ETA.COM.TW failed: Client not found in Kerberos database
[2005/11/24 16:06:41, 0] utils/net_ads.c:ads_startup(191)
  ads_connect: Client not found in Kerberos database
很明顯吧 :roll:
主題: Linux用winbind與AD認證筆記
作者: akong2005-11-24 16:19
他的意思是指我的krb server沒啟動嗎
還是??
不好意思我還不是很了解
可否多多指點
主題: Linux用winbind與AD認證筆記
作者: akong2005-11-24 18:32
請問我應該如何著手
他的意思是....
1.AD上沒有root的帳號嗎?
2.AD上需要安裝什麼東西
3.Linux需要安裝什麼東西
請問是我哪一個步驟有錯嗎
希望大大幫我看一下
謝謝
主題: Linux用winbind與AD認證筆記
作者: akong2005-11-24 19:39
[root@swl-118 home]# net ads join
root's password:
[2005/11/24 19:41:43, 0] libads/kerberos.c:ads_kinit_password(146)
  kerberos_kinit_password root@ETA.COM.TW failed: Client not found in Kerberos database
[2005/11/24 19:41:43, 0] utils/net_ads.c:ads_startup(191)
  ads_connect: Client not found in Kerberos database

請問我應該如何著手
他的意思是....
1.AD上沒有root的帳號嗎?
2.AD上需要安裝什麼東西
3.Linux需要安裝什麼東西
希望大大幫我看一下
謝謝
主題: Linux用winbind與AD認證筆記
作者: gilbertng2005-12-16 10:46
引用
[libdefaults]
default_realm = SERVER.TEST.COM.TW ---改成AD主機
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
TEST.COM.TW = { ---改成網域
kdc = SERVER.TEST.COM.TW:88
admin_server = SERVER.TEST.COM.TW:749 ---AD主機名稱
default_domain = TEST.COM.TW ----網域名稱
}


default_realm = SERVER.TEST.COM.TW ---改成AD主機
以下這句是否應該是 TEST.COM.TW 而不是  SERVER.TEST.COM.TW ?

另外, 請問有否朋友是使用debian(sarge) 來設定winbind + samba + kerberos?
當我設定了pam之後, 我便不能登入了

請問有否一些設定smb.conf , pam.d/login , pam.d/ssh的設定呢?
主題: Linux用winbind與AD認證筆記
作者: akong2006-02-22 16:17
想請問一下
當我要登入網域時
出現如下的訊息
net ads join -U administrator
administrator's password:
[2006/02/22 16:04:57, 0] utils/net_ads.c:ads_startup(186)
  ads_connect: Strong authentication required
請問是出了什麼問題呢
主題: Linux用winbind與AD認證筆記
作者: akong2006-05-22 10:02
想請問一下
我是用FC5+Samba去登入win2003 AD
上個星期安裝好都很正常
但今天一進來就發現不能進入
可是我完全沒有動任何的設定
要透過網芳進入伺服器出現"帳戶沒有權利從這個站進行登入"
可是上個星期使用上都完全正常
不知道是哪裡出問題
主題: Linux用winbind與AD認證筆記
作者: peteryang2006-10-07 11:51
各位先進,小弟用wbinfo -u可以抓到Windwos 2k3 SP1 AD的帳號,但是小弟用getent passwd卻抓不到AD的帳號,不知是什麼原因,煩請各位先進不吝指教,謝謝

小弟是用FC5 + samba-3.0.23c-1.fc5 + krb5-server-1.4.3-4.1
Windows 2003 R2
主題: Linux用winbind與AD認證筆記
作者: peteryang2006-10-09 12:15
各位先進:
  小弟後來用CentOS4.4安裝後,用getent passwd可以抓到AD的帳號及密碼了,也順利加入了AD,但是小弟後來參考alien的建立家目錄的程式,一直會出現下面的錯誤訊息:
代碼: [選擇]

[root@mrtg ~]# getent passwd | awk -f mknthome.awk
awk: mknthome.awk:3: FS = “:”
awk: mknthome.awk:3:      ^ invalid char '▒' in expression


看樣子是在FS = ":"這裡有錯,但是小弟有試了" , ' 及`都還是不行,不知是那個按鍵,或是什麼其它特殊符號,煩請各位先進不吝指教,謝謝
主題: Linux用winbind與AD認證筆記
作者: peteryang2006-10-09 12:47
小弟後來找了其它文章,有找到一樣的程式,就可以了,但是現在帳號目錄有建了,而smtp還是不能用AD帳號來寄信,一直出現要輸入密碼,不知還有什麼小弟沒有注意到,煩請各位先進不吝指教,謝謝
主題: samba如何退出windows網域
作者: dikie2006-10-26 13:26
請問各位學長我下net join -S join notest5 -U administrator%password來加入win2000網域,請問如果要退出網域的話要怎麼下指令呢?謝謝
主題: Re: SAMBA 與 AD
作者: beavis3102007-05-13 10:38
引述: "jovy"
我用CentOS4.1加Win2000 SP4

在一般的Share Folder 都沒有問題.
但User 卻沒辦法進入自己的home directory.
只要點進Home Directory,就會出現輸入帳號密碼的視窗,

請問有辦法解決嗎!?
因為我只會用rpm安裝..
如果要去下載Tar來安裝的話,
有沒有可以參考的安裝文件呢!?


在global裡加上這一行可以解
winbind separator = \
主題: Linux用winbind與AD認證筆記
作者: 湯包2007-05-27 14:37
引述: "akong"
他的意思是指我的krb server沒啟動嗎
還是??
不好意思我還不是很了解
可否多多指點


Windows 上沒有 root 這個帳號吧....
你要用網域管理者的帳號
主題: Linux用winbind與AD認證筆記
作者: 湯包2007-05-27 14:41
請教一下學長,

當我在使用wbinfo -u 時,可以看到一堆Domain User List出來
可是當我在使用getent passwd時,卻只有看到本機帳號...

是因為我把哪些Service 停掉的原因嗎?
我有 on 起來的service 如下
portmap、rpcidmapd、rpcgssd、rpcsvcgssd、kadmin、kprop、krb524、krb5kdc、smb、winbind
主題: Linux用winbind與AD認證筆記
作者: 湯包2007-05-27 14:59
再補充一下,當我使用getent passwd查詢帳號時,
show本機帳號都很快,但是show完本機帳號就會停頓很久,然後沒顯示
domain user list就結束了
主題: Linux用winbind與AD認證筆記
作者: 湯包2007-05-27 15:22
再補充一下,我檢查過selinux的部份,http://phorum.study-area.org/viewtopic.php?t=38419&highlight=Linux%E7%94%A8winbind%E8%88%87AD%E8%AA%8D%E8%AD%89%E7%AD%86%E8%A8%98

[root@postfix /etc/rc3.d]# rpm -q -a |grep selinux-policy
selinux-policy-2.3.18-10
selinux-policy-targeted-2.3.18-10

這些都有安裝,所以應該不是selinux-policy的問題

我也沒起動iptables ....
主題: Linux用winbind與AD認證筆記
作者: andyj2007-08-06 10:01
湯包
你把
winbind enum users = yes
winbind enum groups = yes
這兩行加入到smb.conf試試看
也許你就會在getent passwd看到AD帳號了
主題: 回覆: Linux用winbind與AD認證筆記
作者: jaymsa2008-05-20 16:13
各位前輩好:
小弟歷經千辛萬苦總算將Samba與Win2003整合起來,但遇到了個奇怪的問題!!
照理講應該要放在Windows版,但因為是用Samba加入的所以在此發問...
問題:
我將Samba分享了一個資料夾tmp
smb.conf設定
代碼: [選擇]
[tmp]
   comment = Temporary file space
   path = /tmp
   read only = no
   public = yes
   create mask =0777
   directory mask =0777
   directory security mask = 0777
   admin users = TICO.COM.TW\Administrator

接著我建立一個資料夾(TEST),預計讓A使用者完全控制,B使用者只可以讀取
且假設有三個群組,一個為只要加入使用者就會自動加入Domain User此群組,
另一群組為我我設定給A User的A-Group與給B User的B-Group,
A User只在A-Group,B User只在B-Group,且A'B兩個人都會加入至Domain User群組,
當我將資料夾權限設好後測試,發現A變成只能讀取,也無法寫入,B當然也是只能讀取,
假設我將A,B都從Domain User群組移掉,我所想要的權限就正常,但是如果這樣每加一個人就得從Domain User移除,還有移除是否會對其他登入網域或是哪方面的功能有差?
請教各位是小弟觀念錯誤還是哪方面設定錯誤了?
有查過書籍說ACL有累加性,除非是設定拒絕,才會無法讀取,但是當小弟設定拒絕後,拒絕的地方也不會打勾(就像勾選允許某項設定後勾會留著)!!
主題: 回覆: Linux用winbind與AD認證筆記
作者: jaymsa2008-05-21 17:38
各位好:
昨天再次測試發現,好像出在群組問題?!
我的權限如果是針對群組就會出現上述問題,但個人就不會....
但問題又來了明明不管個人或群組,都有在Domain User內阿!!
所以可否有前輩可以講解一下?是觀念錯誤嗎?建群組的方式也是照書上的沒有特別設定!?
主題: 回覆: Linux用winbind與AD認證筆記
作者: jimwest2008-07-27 23:34
請教一下,我將samba、smtp、pop3都使用ad認證,但是我想針對某些使用者不提供使用部份服務(samba、smtp、pop3),該要如何設定呢?謝謝!!
主題: 回覆: Linux用winbind與AD認證筆記
作者: jaymsa2008-09-19 15:31
請問各位前輩:
我已經整合成功了,但我參考網路上面再用pam整合openwebmail,發現無法更新密碼,請問各位有遇到這樣的問題嗎?
或該如何解決?