windows AD域安裝及必要設定

標籤：success   驗證   kconfig   ESS   目錄   網關   linux   lpn   local   

一、安裝AD域

運行dcpromo命令，安裝AD域。

步驟：

    1.win+R

    2.dcpromo

圖例：

         

百度百科關於“dcpromo”解釋：

      dcpromo命令是一個“開關”命令。如果Windows 2000 Server電腦是成員伺服器，則 運行dcpromo命令會安裝活動目錄，將其升級為網域控制站；如果Windows 2000 Server電腦 已經是網域控制站，則運行dcpromo命令會卸載活動目錄，將其降級為成員伺服器。

 

二、常用功能

建立使用者、建立組織等等

 

三、禁用強制密碼原則

 

四、允許建立使用者登入

把域控使用者添加到、、、、策略。

1、使用VM建立虛擬機器，並設定靜態IP

   使用NAT方式

  1）設定Virtual NetWork Editor

        

        需要注意將Use local DHCP service to distribute IP address to VMS 設定為取消選中狀態。

        點擊NAT Settings查看網關IP

  2）宿主機設定網際網路共用

        

        

2、windows搭建AD域

      請讀者參看：

 http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG

3、Linux加入AD域

 

1.  yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog
2.  yum install samba-winbind samba samba-common samba-client samba-winbind-clients

 

  1）修改DNS

（1）      編輯網卡設定檔/etc/sysconfig/network-scripts/ifcfg-eth0，添加DNS為AD網域服務器地址，如：DNS1=192.168.56.10，其中192.168.56.10是AD網域服務器IP。

（2）      編輯/etc/sysconfig/network更改主機名稱: 更改為長主機名稱，主機名稱加網域名稱：例如域：domian.com,更改後的主機名稱host.domian.com.

（3）      執行service network restart，重啟網路。

（4）      以上操作完成後，在命令列執行ping domain.com應該可以ping通，其中domain.com是AD域的網域名稱。如果ping不通，請檢查防火牆以及DNS的配置。

  2）時間同步

  請讀者參看http://blog.csdn.net/ablo_zhou/article/details/5658916

  3）加域

 （1）setup命令

    

   （2）

    （3）   

      

      （4） 這裡選擇/bin/bash

    （5）

    （6） 成功後將會顯示如下提示：

 

   （7）      編輯/etc/samba/smb.conf，修改如下一行，可以實現登入時不需要輸入欄位名 winbind use default domain = true

   （8）      啟動相關服務並設定開機自啟動，執行如下命令：

Service smb start

Chkconfig smb on

  4）測試加域是否成功

 

（1） # wbinfo –t ##測試RPC通訊，提示succeeded表示成功

          cheTEST the trust secret for domain DOMAIN via RPC calls succeeded

（2）# wbinfo -u ##查看域使用者
          DOMAIN\guest
          DOMAIN\administrator
          DOMAIN\krbtgt
          DOMAIN\barlowliu
          ……以下省略……

（3） ##如果如上，則讀取正常

（4）# wbinfo -g ##查看域組
          DOMAIN\domain computers
          DOMAIN\cert publishers
          DOMAIN\domain users
          DOMAIN\domain guests
          DOMAIN\ras and ias servers
          DOMAIN\domain admins
          DOMAIN\schema admins
          DOMAIN\enterprise admins
          ……以下省略……

         上述兩個命令執行後如果可以看到域中的使用者和組則正常。如果提示如下，則表示與網域控制站同步還未完成。

 （5）測試ntlm組件

          // 關閉防火牆

           ntlm_auth --username=administrator
           password: ##輸入使用者密碼
           NT_STATUS_OK: Success (0x0)
 （6）驗證代域
           # net ads testjoin
           Join is OK 

4.   建立共用目錄，即使用者家目錄

 

（1） 建立使用者家目錄，在此以/apps為例，具體目錄可以自己規定，注意/etc/samba/smb.conf設定檔也要相應的改變，並要把家目錄設為共用目錄，

           共用目錄設定請參考nfs檔案分享權限設定

           mkdir /apps

           chmod 777 /apps

（2） 編輯檔案/etc/samba/smb.conf，在[global]添加如下幾行：

           template homedir = /apps/%D/%U

           follow symlinks = yes

           wide links = yes

           unix extensions = no

          在[homes]下添加如下幾行：

          [homes]

           comment = Home Directories

           read only = no

           writeable = yes

（3）編輯/etc/pam.d/system-auth以及/etc/pam.d/sshd，兩個檔案中都加入如下一行：

           session required pam_mkhomedir.so skel=/etc/skel umask=0077

（4）啟動相關服務，執行如下三個命令

            service smb restart

（5） 測試家目錄是否可以成功建立，在命令列su成AD域使用者jhadmin，在家目錄/apps/domain下查看是否建立使用者的家目錄（與jhadmin同名的目錄），

            如果成功建立，則相關配置正確。

5.  解決uid不同問題

 

   將以下內容拷貝到/etc/samba/smb.conf的[global]中

    idmap uid =20000-29999

    idmap gid =20000-29999

    idmap config domain:backend= rid

    idmap config domain:range  = 20000000-29999999 注意:domain(為短網域名稱大寫)

    winbind enum users =yes

    winbind enum groups= yes

    winbind separator =+

    註：如果uid仍不統一，則需要清理samba資料庫：rm –rf /var/lib/samba/*.tdb，然後重新加域。

 

6. 使用域賬戶直接登入

   重新啟動linux，賬戶名輸入欄位賬戶，傳統為HADOOP\user  ，經過上述配置讀者可以直接使用使用者名稱稱，而不用再加短網域名稱。

windows AD域安裝及必要設定