• Samba通过ad域进行认证并限制空间大小《转载》


    本文实现了samba服务被访问的时候通过windows域服务器进行用户名和密码验证;认证通过的用户可以自动分配500M的共享空间;在用户通过windows域登陆系统的时候可以自动把这块空间映射成一块硬盘。
    环境说明:
    文件服务器用的Centos5.3,域控用的Win2k3 sp2,Domain是rainbird.net。
    Centos5.3:
    Name:Filesrv
    IP:192.168.1.245
    Dns:192.168.1.241
    Samba:3.0.33-3.7.el5
    Win2k3:
    Name:ad1
    Ip:192.168.1.241
    Dns:192.168.1.241
    Ok,let’s move!
    因为是服务器配置,所以本文的操作都是在字符界面下直接编辑文件。当然为了提高工作效率其中一部分配置是可以在图形界面下配的。前提是你必须是redhat/centos系统。如果是的话,可以参考我上一篇文章<<linux加入windows域之完美方案>>来做J
    1.samba服务器软件需求
    krb5-workstation-1.2.7-19
    pam_krb5-1.70-1
    krb5-devel-1.2.7-19
    krb5-libs-1.2.7-19
    samba-3.0.5-2
    [root@filesrv CentOS]# rpm -qa|grep krb5
    krb5-auth-dialog-0.7-1
    krb5-libs-1.6.1-25.el5
    krb5-devel-1.6.1-25.el5
    pam_krb5-2.2.14-1
    krb5-workstation-1.6.1-25.el5
    [root@filesrv CentOS]# rpm -qa|grep samba
    samba-swat-3.0.28-0.el5.8
    samba-common-3.0.28-0.el5.8
    samba-client-3.0.28-0.el5.8
    samba-3.0.28-0.el5.8

    如果centos在安装的时候没有取消默认选中的”Base”,则krb5的包是默认全部安装
    如果没有选择安装samba可以这样安装
    [root@filesrv CentOS]# rpm -ivh xinetd-2.3.14-10.el5.i386.rpm
    [root@filesrv CentOS]# rpm -ivh --aid samba*.rpm

    2.配置kerberos(关键)
    下面配置参数让 Kerberos 进程知道处理活动目录服务器,对 /etc/krb5.conf 做适当的修改,修改时需要注意的是 Kerberos 是大小写敏感的。
    这是我的krb5.conf配置文件:
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]
    ticket_lifetime = 24000
    default_realm = RAINBIRD.NET //默认域名
    dns_lookup_realm = false
    dns_lookup_kdc = false

    [realms]
    RAINBIRD.NET = {
    kdc = 192.168.1.241:88 //域服务器ip
    # admin_server = kerberos.example.com:749
    default_domain = RAINBIRD.NET
    }

    [domain_realm]
    . rainbird.net = RAINBIRD.NET
    rainbird.net = RAINBIRD.NET

    [kdc]
    profile = /var/kerberos/krb5kdc/kdc.conf

    [appdefaults]
    pam = {
    debug = false
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false
    }

    3.测试kerberos
    kinit administrator@RAINBIRD.NET
    kinit 命令将测试服务器间的通信,administrator为域内存在的用户, RAINBIRD.NET 是你的活动目录的域名,必须大写。
    正确操作的提示:
    [root@filesrv~]# kinit administrator@RAINBIRD.NET
    Password for administrator@RAINBIRD.NET: (正确输入密码后直接返回)
    [root@filesrv~]#

    可能遇到的几个常见错误:
    域名错误:
    kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
    密码错误,验证失败:
    kinit(v5): Preauthentication failed while getting initial credentials.
    用户不存在:
    kinit(v5): Client not found in Kerberos database while getting initial credentia
    时间不一致:
    kinit(v5): Clock skew too great while getting initial credentials
    4.修改/etc/nsswitch.conf
    passwd: files winbind
    shadow: files winbind
    group: files winbind

    5.配置samba
    修改/etc/samba/smb.conf如下几行
    workgroup = RAINBIRD
    server string = Filesrv
    password server = AD1.RAINBIRD.NET //域服务器,可以用ip也可以用域名
    realm = RAINBIRD.NET //活动目录服务器域名
    security = ads //采用活动目录认证方式
    idmap uid = 16777216-33554431
    idmap gid = 16777216-33554431
    template shell = /sbin/nologin
    template homedir = /home/%U
    winbind use default domain = true
    winbind offline logon = true
    winbind enum groups = yes
    winbind enum users = yes
    winbind separator = /

    红色部分是要修改的,蓝色部分是要新增的。建议直接把已经存在的注释掉,把这里列出来的东西,直接放进去,这样在一块方便查找。
    我们现在把samba服务器加入windows域。
    [root@filesrv1 samba]# net ads join -U administrator@RAINBIRD.NET
    administrator@RAINBIRD.NET's password:
    Using short domain name -- RAINBIRD
    Joined 'FILESRV1' to realm 'RAINBIRD.NET'
    提示是”Joined”哟~

    加入失败可能的原因:
    两台机器的时间不一致!
    重新启动服务
    service smb restart
    service winbind restart
    设定服务开机自动启动
    chkconfig smb on
    chkconfig winbind on
    咱们去Windows 2003 服务器上检查一下:打开活动目录用户和计算机,查看其中的条目,如果成功的话,就可以看到你的 Linux 服务器。
    这里样你可以用wbinfo做一些测试
    验证Samba主机已成功加入AD
    [root@filesrv samba]# wbinfo -t
    checking the trust secret via RPC calls succeeded
    说明主机信任已成功建立
    使用wbinfo –u 可以列出AD中注册的帐号信息
    [root@filesrv samba]# wbinfo -u
    administrator
    guest
    support_388945a0
    krbtgt
    rainbird
    rainbow
    a
    a1
    a2
    root
    a3
    a4
    a5
    a6
    a7
    a8
    a9
    a10
    Wbinfo –g可以返回AD中的组信息
    [root@filesrv samba]# wbinfo -g
    domain computers
    domain controllers
    schema admins
    enterprise admins
    domain admins
    domain users
    domain guests
    group policy creator owners
    dnsupdateproxy

    可能的错误
    如果你wbinfo –t 测试的时候提示如下:
    [root@filesrv samba]# wbinfo -t
    checking the trust secret via RPC calls failed
    error code was (0x0)
    Could not check secret
    说明你winbind服务没起动,重启一下就OK了
    当然了有必要说一下,winbind如果提示启动成功但没有启动的话,有可能是因为你没有加入到域。

    6.自动创建用户目录
    细心的朋友可能发现从开篇一直到现在除了操作方式不一定以外,所做的事情和<<linux加入windows域之完美方案>>没有太大的区别。嗯,笔者不置可否,估且这么理解吧。希望有点小细节您注意到了,在smb.conf中,有一句template shell = /sbin/nologin。是的,samba服务器,我们只希望他提供samba服务,不希望有用户登陆。在上一篇文章中解决用户登陆时主目录不存在的问题,用的是pam_mkhomedir.so这个东东。在文件共享这块,笔者意外的发现,这个文件,对于通过samba访问过来的请求不会创建主目录!这可如何是好?这就是脚本mkhome.sh存在的原因。
    #!/bin/bash
    user=$1
    group=$2
    home=/home/$1
     
    if [ ! -d $home ] ; then
    mkdir -p $home
    chown $user $home
    chgrp $group $home
    chmod 700 $home
    edquota -p administrator -u $user
    fi
          这个脚本接受两个参数,一个是用户名,一个是组名。然后给这个用户创建目录,并分配权限,然后再给分配一下用户空间。Ok,回头看一下smb.conf文件。
    [homes]
            comment = Home Directories
            path = /home/%U //共享的目录
            valid users = rainbird.net/%U //认证的用户,前面必须加rainbird.net哟
            read only = No
            browseable = No
    root preexec = /root/mkhome.sh %U %G //执行创建目录的操作。
          这段配置中最帅的就是这个mkhome.sh的存在。因为这个脚本的执行者是root,所以我们脚本的权限设置700即可。再往下我们将继续探索它的神奇魔力。写完这段保存一下,重启smb:service smb restart。这样,在一台xp的机器上,用域用户登陆,然后访问\192.168.1.246,是不是看到了一个以你登陆的域用户名命名的一个文件夹呢?没错,就是它!你现在可以试下删写文件了。怎么有问题?有问题就自己检查一下,为什么吧J
    7.设置磁盘配额
          因为磁盘配额只能在一块单独的分区上启用,所以笔者专门添加了一块分区挂载到home目录下,这点要注意。
    编辑fstab
    [root@filesrv1 ~]#vi /etc/fstab
    /dev/hdb1               /home               ext3    defaults,usrquota,grpquota
         选择分区,将defaults选项改为:“defaults,usrquota,grpquota”(针对用户和组做磁盘配额)或“defaults,usrquota"(针对用户做磁盘配额 )或"defaults,grpquota"(针对组做磁盘配额)
    重新挂载文件系统:
    [root@filesrv1 ~]#mount –o remount  /home
    创建配额文件
    [root@filesrv1 ~]#quotacheck –cmug  /home
    启动配额
    [root@filesrv1 ~]#quotaon -av
    配额设置
    [root@filesrv1 ~]# edquota -u administrator
    Disk quotas for user administrator (uid 16777216):
         Filesystem  blocks   quota   limit   grace   files   quota   limit   grace
          /dev/sdb1    0   500000   512000              10       0       0    
    (其中:blocks,已用磁盘空间;soft,磁盘空间软限制,hard:磁盘空间硬限制;
            inodes: 已写多少个文件;soft:磁盘文件数量软限制;hard:磁盘文件数量硬限制)
    查看磁盘配额情况
    [root@filesrv1 home]#quota -u administrator
    分析:使用磁盘限额有一点不爽的地方就是它不是默认给所有的用户设置限额。也就是说,如果你想给哪个用户启用磁盘限额,你必须先建立那个用户,然后再针对那个用户进行限制。可是在域里,我们所有的用户已经建立好了?怎么一个一个的给进行磁盘限额呢?还好edquota提供了这么一个特性,就是你可以以一个用户为模板,把配置复制给新用户,这样就简单了,如果要手动给用户分配限额的话,这样就可以搞定:wbinfo –u|xargs|edquota -p administrator –u。这样我们就把administrator这个用户的配额情况”分发”给了所有用户!还记得我们的mkhome.sh吗?是的,就是它,里面有这第一句edquota -p administrator -u $user,这句话的意思就是以administrator为模板给用户设置磁盘限额。这样写在脚本里,不但省去了手工执行,新添加用户也不怕了J
    8.域用户登陆自动挂载自己的共享文件夹
           嘿嘿,能做到这步,已经很不容易了,如果你做到了,那么恭喜你,因为终点就在眼前了。到这一步,你已经成功完成了samba通过ad域进行验证,并给验证用户分配500M的固定空间,现在就让我们一鼓作气,将这个优雅的高难度动作画个完美的句号吧J
           我们知道windows有个“映射网络驱动器”的功能。今天用到的东东就是它。其实原理很简单,就是我们写个批处理,这个批处理的功能是获得登陆用户的用户名,然后去连接共享。而用户登陆的时候就自动执行这个批处理。是不是很好玩呢?
           这个操作在域服务器上进行。在服务器上有个路径C:WINDOWSSYSVOLsysvol ainbird.netscripts,把你想要域用户登陆执行的脚本放在这个文件里就可以了。
    Share.cmd里面的内容是:
    @echo off
    if exist P: net use P: /del /y
           这个文件的权限要设置成everyone读取。不然后域用户登陆的时候会报错的哟。这样还不算完。再配置一下。打开“active directory 用户和计算机”找到users,多选你要分配空间的用户,如图,选择属性。
    找到“配置文件”选中“登陆脚本”,在后面的框里输入“share.cmd
    这样,被选中的用户下次再登陆的时候就被“强制”执行这样脚本。当然这个策略不知道要多长时间才能分发下去。如果你现在就想让它生效,那么:gpupdate /force!
    域用户登陆以后在我的电脑就会看到这块共享盘
     
    可以添加修改文件。至于空间是不是限定了500M,那就自己试一下吧J(或者去linux quota查询也可以哟~~)
  • 相关阅读:
    window上部署Flask
    PIP超时
    覆盖内敛样式
    解决js导出csv中文乱码
    没有为请求的 URL 配置默认文档,并且没有在服务器上启用目录浏览。
    nuget加载本地包
    DataTable表头对不齐、添加参数等方法总结
    根据class判断
    element-ui的table动态生成表头和数据,且表中数据可编辑
    VScode快捷键、Chrome快捷键知识小总结和状态码
  • 原文地址:https://www.cnblogs.com/rusking/p/3965244.html
Copyright © 2020-2023  润新知