Интеграция серверов Linux с Active Directory с помощью Samba, Winbind и Kerberos

Thank you for reading this post, don't forget to subscribe!

Выпол­ни­те сле­ду­ю­щие шаги, что­бы инте­гри­ро­вать эти сер­ве­ры с AD с помо­щью samba, winbind и Kerberos.

Шаг 1: Установите пакеты samba-winbind и kerberos.

# yum install samba-winbind samba-winbind-clients samba krb5-libs krb5-workstation pam_krb5

Шаг 2: Синхронизация времени.

AD очень тре­бо­ва­те­лен к соот­вет­ствию вре­ме­ни при аутентификации.

Поэто­му вре­мя сер­ве­ра linux и сер­ве­ра AD долж­но быть син­хро­ни­зи­ро­ва­но с сер­ве­ром ntp.

Исполь­зуй­те при­ве­ден­ную ниже коман­ду для син­хро­ни­за­ции вре­ме­ни сер­ве­ра Linux с сер­ве­ром ntp.

# ntpdate [ntp-server-ip-address/dns-name]

Что­бы сде­лать выше­ука­зан­ную кон­фи­гу­ра­цию посто­ян­ной, отре­дак­ти­руй­те файл “/etc/ntp.conf” и про­сто заме­ни­те то, что там есть, на один или несколь­ко NTP-сер­ве­ров в вашем домене, например:

# vi /etc/ntp.conf
server [ntp-server-ip-address/dns-name]

Запу­сти­те сервис:
# /etc/init.d/ntpd start
# chkconfig ntpd on

Шаг 3: Отредактируйте файл /etc/hosts.

# vi /etc/hosts
[ip-address] adserver.yourdomain adserver

Шаг 4: Отредактируйте файл /etc/krb5.conf.

# vi /etc/krb5.conf

 

Шаг 5: Теперь протестируйте аутентификацию Kerberos.

kinit [user-name]

Если он запро­сит пароль, вве­ди­те пароль поль­зо­ва­те­ля ad, если все в поряд­ке, то мы полу­чим при­гла­ше­ние, в про­тив­ном слу­чае пере­про­верь­те файл krb5.conf.

Шаг 6: Теперь настройте Samba и Winbind.

Отре­дак­ти­руй­те файл /etc/samba/smb.conf.

# vi /etc/samba/smb.conf

Шаг 7: Настройте файл /etc/nsswitch.conf для обработки аутентификации.

 

# vi /etc/nsswitch.conf

 

Шаг 8: Теперь перезапустите службы winbind и Samba.

# /etc/init.d/smb restart
# /etc/init.d/winbind restart

Теперь при­со­еди­ни­тесь к домену:

# net ads join -U [User Name]

Если выше­ука­зан­ная коман­да сооб­ща­ет “Join is OK”, про­верь­те winbind:

Коман­да для состав­ле­ния спис­ка всех поль­зо­ва­те­лей AD:

# wbinfo -u

Шаг 9: Теперь про­ве­ди­те тести­ро­ва­ние и попро­буй­те вой­ти на сер­вер linux через учет­ные дан­ные поль­зо­ва­те­ля AD.

# ssh [username]@[ipaddress]