這裏域爲:vsphere.com
IP爲:172.16.124.240
我這裏linux版本爲6.7
1.linux做如下配置。。
a.修改計算機名:
vim /etc/sysconfig/network
##主機名後綴爲vsphere.com(我這裏是linux.vsphere.com),且主機名不能重複
b.修改DNS:
vim /etc/resolv.conf
##修改爲如下內容
search vsphere.com
nameserver 172.16.124.240
c.刪除本機計算機解析
vim /etc/hosts(刪除裏面的所有東西,有幾行就輸入幾dd,比如有3行,3dd)
d. 不關閉防火牆(我這裏是iptables,7.0之前沒有firewall)做防火牆策略, 添加兩條策略,允許本機與DC之間的全部通訊:
vim /etc/sysconfig/iptables
-A OUTPUT -m state --state NEW -m tcp -p tcp -d 172.16.124.240 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp -s 172.16.124.240 -j ACCEPT
重啓服務生效(服務很多 我直接重啓電腦,重啓命令reboot或者init 6)
2.時間同步
a.編輯計劃任務,加入時間同步
vim /etc/crontab
##加入如下時間同步內容,實現每小時與服務器同步一次時間
00 root /usr/sbin/ntpdate
vsphere.com;/usr/sbin/hwclock -w
b.將crond服務加入到開機啓動,並立即重啓crond服務
#chkconfig crond on
#service crond restart
3.安裝samba和krb5:
a.安裝支持軟件(需要先配置yum源):
yum -y install pam_krb5 krb5-libs krb5-workstation krb5-devel krb5-auth samba samba-winbind samba-client samba-swat*
##(安裝之前用rpm -qa|grep 查看是否已安裝)
b.檢查krb5相關組件是否全部安裝
#rpm -qa|grep krb
(會有5項相關內容,如果沒有直接用yum -y install krb5*把帶krb5的所有 軟件包全部安裝)
c.檢查samba組件是否全部安裝:
#rpm -qa|grep samba
(會有6項纔算全部安裝,默認Samba和samba-swat是沒安裝的,需要先安裝samba才能安裝samba-swat)
d.驗證samba基礎庫支持:(沒安裝Samba是顯示不出基礎庫的)
#smbd -b|grep LDAP
#smbd -b|grep KRB
#smbd -b|grep ADS
#smbd -b|grep WINBIND
至此,samba和krb5的基本已經安裝完成
加域:
a.啓動相關服務並設置開機啓動:
#service winbind start
#chkconfig winbind on
b.使用setup配置工具,並選擇“驗證配置”,選擇下面三項:
“use winbind” ##對應的中文意思
“use kerberos”##對應中文“使用kerberos”
“use winbind authertication” ##對應中文“使用winbind驗證”
------------------然後點擊“下一步”-----------------
域:vsphere.com
KDC:WIN-GKNVD58B4QL.vsphere.com
管理服務器:WIN-GKNVD58B4QL.vsphere.com
##並勾選下面兩個選項
(之所以之前一直加域不成功,是因爲這裏的KDC需要填域控制器的名稱,這裏的域控制器是AD域的計算機名可以到AD域裏面Domain Controllers裏面的計算機名加域名)
------------------然後點擊“下一步”-----------------
安全模型:ADS
域:VSPHERE
域控制器:WIN-GKNVD58B4QL.vsphere.com
ADS域:vsphere.com
模板shell:/bin/bash
----------------------點擊加入域---------------------
回彈出個報錯信息,這時不用理會,
然後輸入:authconfig-gtk(linux版本7.0之前纔有這個命令,7.0以後的版本這個命令被取消)
用戶賬戶數據庫:winbind
winbind域:VSPHERE(注意大小寫)
安全模型:ads
winbind ADS域:VSPHERE.COM(注意大小寫)
winbind域控制器:WIN-GKNVD58B4QL.vsphere.com
模板shell:/bin/bash
---------------------點擊加入域--------------------
這是輸入域管理員administrator和對應密碼,輸入完成後會返回驗證配置界面
然後輸入:net ads join -U [email protected](這裏的administrator可以換成是域上面的任意成員)
然後會返回一個錯誤信息:大致的意思是DNS無法自動創建更新
這時我們就要去DNS上面手動添加一條DNS更新策略
在DNS———點擊vsphere.com———右邊會顯示很多更新條目———鼠標右鍵———新建主機———名稱:centos(我的linux主機名是centos,填對應的Linux主機名)———IP地址:172.16.124.103(對應的LinuxIP地址)———勾選允許所有經過身份驗證
回到Linux:
a.測試是否加域成功:
#wbinfo -t ##測試RPC通訊,提示succeeded表示成功
checking the trust secret for domain VSPHERE via RPC calls succeeded
#wbinfo -u ##查看域用戶
(會有很多域成員)
如果有表示讀取正常
#wbinfo -g ##查看域組
(一樣會有很多域組)
如果有表示讀取正常
上訴兩個命令執行後如果可以看到域中的用戶和組則正常。如果提示如下,則表示與域控制器同步還未完成
測試ntlm組件
ntlm_auth --username=administrator
password:##輸入密碼
驗證代域:
#net ads testjoin
Join is OK
b.使用域賬戶登錄
此時就可以使用su - ***@vsphere.com這樣的域用戶登錄Linux服務器了,如果登錄後顯示如下:
Could not chdir to home directory /home/VSPHERE/barlowliu:No such file or directory
-bash-4.1$
##這表示沒有自動創建用戶的家目錄,下面就來解決這個問題
c.解決域用戶登錄後沒有加目錄的問題:
1.建立域用戶家目錄:
#mkdir /home/VSPHERE
#chmod 1777 /home/VSPHERE
2.編輯/etc/samba/smb.conf配置文件,添加如下一行:
(在最下面添加)
template homedir = /home/%D/%U
##修改如下一行就可以實現在登錄時不需要輸入域名
winbind use default domain = true
3.編輯/etc/pam.d/system-auth,增加如下一行:
session required pam_mkhomedir.so skel=/etc/skel umask=0077
4.vim /etc/pam.d/sshd 統一增加上面一行:
session required pam_mkhomedir.so skel=/etc/skel umask=0077
完成後就可以使用域賬號正常登錄了,但是還需要配合安全要求,設置每臺允許SSH登錄和允許運行su和sudo命令的用戶