• ads模式Samba服务器配置示例


    以下内容摘选自笔者即将出版上市的新作——《金牌网管师——大中型企业网络组建、配置与管理》一书。 7.5 ads模式Samba服务器配置示例

    本 节要介绍ads模式下Samba服务器的配置方法。相对于前面介绍的user模式下的Samab服务器,ads模式的配置更为复杂,因为它涉及到 Windows域网络中的Kerberos身份验证技术,除了需要配置主配置文件smb.conf外,还需要配置用于Kerberos身份认证的配置文件 /etc/krb5.conf,用于控制Samba服务器Linux系统账户与Windows域账户交换的/etc/nsswitch.conf文件。还 需要使用“net ads join -S”命令把Samba服务器加入到Windows AD域中。

    仍采用上节的两个共享目 录:/usr/share和/etc/program,要求使用主机名为lycb-DC1,域名为lycb.local的Windows Server 2003域控制器进行身份验证,允许所有用户对/usr/share共享目录具有只读权限,仅允许administrators组成员对/etc /program共享目录具有写入权限,而其他的用户对/usr/share共享目录具有只读权限。当然首先也要确保Windows Server 2003域网络与Samba服务器处于同一网段。如果不处于同一网段,则要配置好相应的网络路由。另外,在Samba服务器中要用DNS域名格式配置好主 机名和域搜索路径。

    7.5.1 ads模式主配置文件配置示例

    根据上述要求,可以写如下Samba服务器主配置文件smb.conf。

    [global]

    workgroup = lycb # 指定AD域的NetBIOS名称。必须有这个语句,否则不能在域网络中搜索得到该Samba服务器

    server string = File Server

    netbios name = Sambaserver

    security = ads # 指定Samba服务器的工作模式为ads

    hosts allow = 172.16. 127.

    encrypt passwords = yes

    guest account = alice # 指定alice用户作为来宾访问账户

    realm = lycb.local # 指定Windows域名(DNS格式)

    password server =172.16.0.1 # 指定担当身份验证服务器的服务器IP地址

    [homes]

    comment = Home Directories

    browseable = no

    writable = yes

    path = /home/%U

    valid users = %U

    [share]

    comment = All user's share directory

    path = /usr/share

    public = no

    guest ok =yes

    readonly = yes

    [program]

    comment = Program Files

    path = /etc/program

    valid users = @administrator alice # 指定该共享目录仅允许域网络中的administrtors组成员和alice用户访问

    public = no

    writable = yes

    另外,建议在[global]部分使用以下所示配置,使得winbind服务可以列出Samba服务器加入的AD中的所有用户和组信息。确保在windbind服务运行时,可以使用在DC中的用户和组来进行类似文件/目录权限设置,以及samba共享定义等。

    idmap uid = 15000-20000 # 指定一个uid范围,该范围内的uid被用来映射Linux用户到Windows用户SID,而且要确保这个id范围内没有被本地或者NIS用户占用,在winbind服务启动后,也不能在该ID范围内添加用户。

    idmap gid = 15000-20000 # 指定一个gid范围,该范围内的gid被用来映射Linux用户到Windows的组SID,而且要确保这个id范围内没有被本地或者NIS组占用,在winbind启动以后,也不能在该ID范围内添加新组。

    winbind enum groups = yes # 指定winbind服务是否能在系统上创建Windows域组。一般情况下都要设置为yes,除非你处于某种原因希望关闭该功能。

    winbind enum users = yes # 指定winbind服务是否能在系统上创建Windows域用户。一般情况下都要设置为yes,除非你处于某种原因希望关闭该功能。

    winbind separator = + # 指定一个字符作为分隔符,winbind将使用该分隔符来用户或组名。使用该配置将使得域用户表示为"MYDOMAIN+username",域组被表示为"MYDOMAIN+Domain Users"

    template homedir = /homes/%D/%U # 用来指定为域用户产生主目录。使用变量替换可使winbind服务把用户主目录设置为/homes/MYDOMAIN/username。

    template shell = /bin/bash # 控制samba在哪里寻找域用户的主目录。

    然后,管理员需要手工编辑/etc/nsswitch.conf文件,这样winbind能实现使用域上的用户。具体将在7.4.3节介绍。

    使用testparm命令检查主配置文件的语法和完整的综合有效设置,确认无识后即可进行下面的krb5.conf配置文件。

    7.5.2 krb5.conf配置文件配置示例

    在配置ads模式Samba服务器时,/etc/krb5.conf配置文件必须配置的。它是作为Kerberos身份验证模块,可以使Samba服务器对Windows AD域有更好的支持。

    在 /etc/krb5.conf配置文件主要是配置与域有名的项目,在RedHat Enterprise Linux 5系统中属于包krb5-libs-1.5-17.i386.rpm。打开/etc/krb5.conf配置文件,然后按下面格式进行修改并保存(本示例 域名为lycb.local)。

    [logging]

    default = FILE:/var/log/krb5libs.log

    kdc = FILE:/var/log/krb5kdc.log

    admin_server = FILE:/var/log/kadmind.log

    [libdefaults]

    default_realm = LYCB.LOCAL # 指定默认领域名

    dns_lookup_realm = false # 指定无需DNS解析领域请求包

    dns_lookup_kdc = ture # 指定允许DNS解析kdc请求包

    ticket_lifetime = 24h # 指定Kerberos认证票证有效期

    forwardable = yes # 允许转发解析请求

    [realms]

    LYCB.LOCAL = {

    kdc = 172.16.0.1:88 # 指定KDC服务器和KDC服务端口

    admin_server = 172.16.0.1:749 # 指定域控制器和管理端口

    default_domain = lycb.local # 指定默认域

    }

    [domain_realm]

    .lycb.local = LYCB.LOCAL

    lycb.local = LYCB.LOCAL

    # 以上两条其实是设置一个领域搜索范围,并通过这两个语句可以使得领域名与大小写无关。

    [kdc]

    profile = /var/kerberos/krb5kdc/kdc.conf

    [appdefaults]

    pam = {

    debug = false

    ticket_lifetime = 36000

    renew_lifetime = 36000

    forwardable = true # 允许转发请求

    krb4_convert = false

    }

    把以上内容(“#”说明部分无需要粘贴)全部替换原/etc/krb5.conf配置文件中的原有内容并保存。但一定要注意其中各部分的领域名大小写不能写错,哪怕一个字母的大小写错了都不行。这一点非常重要。

    这 时我们可以用kinit命令来测试一下Samba服务器与Windows Server 2003域控制器间的通信是否正常。后面接一下Windows Server 2003域中已存在并启用的用户账户即可。如直接用域管理员账户administrator账户,则可输入该账户的以下命令(后面的域名一定要大写):

    Kinit administrator@LYCB.COM

    正 常情况下会提示你输入administrator账户的密码,如下所示。如果出现“kinit(v5): Cannot find KDC for requested realm while getting initial credentia”这样的错误提示,则可能是上面在administrator@LYCB.COM中的域名部分不是全部大写,或者是你在/etc /krb5.conf配置文件中有关领域名称配置语句中的大小写输入错误,一定要按照本示例,或者默认配置文件那样正确输入大写或小写域名。

    [root@sambaserver ~]# kinit administrator@LYCB.LOCAL

    Password for administrator@LYCB.LOCAL:

    7.5.3 nsswitch.conf配置文件配置示例

    Nsswitch.conf 配置文件是用来控制在用户访问Samba服务器时与Windows域中DC中的用户账户的切换,使用DC中的用户账户来进行身份验证。 Nsswitch.conf配置文件是在/etc目录下,要配置的内容也非常简单。只需要编辑以下两行语句即可:

    passwd: files winbind

    group: files winbind

    shadow: files winbind

    hosts: files dns wins

    networks: files dns

    protocols: db files

    services: db files

    ethers: db files

    rpc: db files

    用“#”符号注释掉所有与上面语句配置不一致的语句,保存配置文件。

    7.5.4 把Samba服务器加入到AD域

    通 过前面几个配置文件的成功配置,现在就可以把Samba服务器加入到Windows Server 2003域网络中,成中域客户端了。但首先要使用“service smb restart”和“service winbind restart”命令重启smb和winbind服务。然后使用以下命令把Samba服务器加入到域中(此时只能使用有权把客户机加入到域的域用户账户, 通常是直接使用域管理员账户administrator)。正常情况下会出现要求你输入管理员账户的密码,然后过一会就会出现成功加入XXX.XXX领域 的提示,如图7-21就是成功加入到本示例中LYCB.COM领域的提示。

    net ads join –U administrator

    http://img1.51cto.com/attachment/201001/8/55153_12629575382lFL.jpg

    图7-21 Samba服务器成功加入AD域的提示

    一 般来说如果通过前面用kinit命令对两服务器间通信的测试,则本步也不会有什么问题。但建议不要在上面的命令中的管理员账户 administrartor后再加领域尾缀,因为此时在Samba服务器上已建立了与DC上同名且密码一样的administrator账户了。再加上 领域尾缀,反而可能会出现“SMB Signature verification failed on incoming packet!”这样的错误提示,结果加入不成功。

    然后使用“wbinfo –u”可以在Samba服务器上查看域中现有的域用户账户,使用“wbinfo –g”命令可以查看域中现有的组账户。如果能列出这些账户出来(如图7-22所示),证明域加入真正成功了。用“wbinfo –t”命令确认Samba主机帐号在AD中正确注册。如果注册成功会有“checking the trust secret via RPC calls succeeded”的提示。

    这时我们可以在Windows Server 2003 DC的“Active Directory用户和计算机”管理单元的“Computers”容器中见到Samba服务器了。如本示例中的Samba服务器NetBIOS名称为 sambaserver,如图7-23所示。这时Samba服务器就相当于AD中的一台客户机,并且已使用了administrator账户登录。上一切 正常后就可以在Windows Server 2003域网络中的客户端机访问Samba服务器了。这时Samba服务器成为了域成员了,域用户可以像访问Windows系统域成员主机一样访问 Samba服务器的共享资源了,当然是否能访问这也得得依照相应共享资源的用户访问权限来定。

    可是发现在Windows系统域客户端, 或者Linux客户端中访问Samba服务器时出现如图7-24所示的错误提示。看似是由于防火墙阻止了,可是此时Samba服务器上的防火墙关了还不 行,肯定不再与防火墙有关了。此时我在DC上管理这台机时出现不能管理localhost.localhost这台计算机的错误提示。这台Samba服务 器已改成sambaserver.lycb.local了啊,而且在smb.conf主配置文件中也加了“netbios name = sambaserver”这个语句。况且在DC中也正确显示了这个名称啊,为什么还是显示localhost.localhost这个默认的主机名呢?

    http://img1.51cto.com/attachment/201001/8/55153_1262957540d6nz.jpg

    图7-22 在Samba服务器上列出的域用户和组账户

    http://img1.51cto.com/attachment/201001/8/55153_1262957543OyU7.jpg

    图7-23 在DC上见到的Samba服务器

    http://img1.51cto.com/attachment/201001/8/55153_1262957544tHH6.jpg

    图7-24 在域网络中访问Samba服务器时出现的错误提示

    网 上查了很久,都没有找到答案,最终还是自己想到了前面介绍的lmhosts这个主机文件,打开一看,果然仍是“127.0.0.1 hostlocal”这样的设置,把它改成“172.16.3.100 sambaserver.lycb.local”,重启smb进程,再次访问,就不再有这个错误提示了。直接在“网上邻居”中可见到Samba服务器的共 享资源了(如图7-25所示),连身份验证都不用,因为此时Samba服务器已成为了域成员,所有域用户都可以在其被授予的权限范围内访问所能访问的共享 资源,就像Windows域内其他Windows系统主机一样。

    我们再来打开在本示例中不允许匿名访问,仅允许administrators组成员和alice用户访问的program目录,此时会打开如图7-26所示身份验证对话框。输入帐户和密码后即进入到这个共享目录,如图7-27所示。

    http://img1.51cto.com/attachment/201001/8/55153_1262957547xmRH.jpg

    图7-25 在域网络Windows系统主机上打开的Samba服务器

    http://img1.51cto.com/attachment/201001/8/55153_1262957549wbkN.jpg http://img1.51cto.com/attachment/201001/8/55153_1262957551bI1H.jpg

    图7-26 访问非允许匿名访问共享目录时弹出的身份验证对话框 图7-27 进入到的program共享目录

  • 相关阅读:
    vue全家桶
    beego 框架bee安装没有bee.exe解决办法
    beego运行出现错误0004 Failed to build the application: go: github.com/beego/beego/v2@v2.0.1
    10:01:57.727 [main] ERROR o.s.b.SpringApplication [reportFailure,830] Application run failed java.lang.IllegalStateException: Unable to read metadata for class
    idea 设置Run DashBoard窗口
    对象、Map转JSON字符串
    js 获取对象属性值的方法
    js中(...)用法
    JS中find方法的使用
    解决echarts中横坐标值显示不全(自动隐藏)问题
  • 原文地址:https://www.cnblogs.com/zhang-xiao/p/3233202.html
Copyright © 2020-2023  润新知