這篇文章給大家分享的是有關(guān)怎么使用Samba和Winbind將Ubuntu 16.04添加到AD域的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

創(chuàng)新互聯(lián)專注于怒江州網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠為您提供怒江州營銷型網(wǎng)站建設(shè)，怒江州網(wǎng)站制作、怒江州網(wǎng)頁設(shè)計(jì)、怒江州網(wǎng)站官網(wǎng)定制、重慶小程序開發(fā)服務(wù)，打造怒江州網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供怒江州網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

要求：

在 Ubuntu 系統(tǒng)上使用 Samba4 軟件來創(chuàng)建活動(dòng)目錄架構(gòu)

***步： Ubuntu 系統(tǒng)加入到 Samba4 AD 之前的基本配置

1、在將 Ubuntu 主機(jī)加入到 AD DC 之前，你得先確保 Ubuntu 系統(tǒng)中的一些服務(wù)配置正常。

主機(jī)名是你的機(jī)器的一個(gè)重要標(biāo)識。因此，在加入域前，使用 hostnamectl 命令或者通過手動(dòng)編輯 /etc/hostname 文件來為 Ubuntu  主機(jī)設(shè)置一個(gè)合適的主機(jī)名。

# hostnamectl set-hostname your_machine_short_name # cat /etc/hostname # hostnamectl

設(shè)置系統(tǒng)主機(jī)名

2、在這一步中，打開并編輯網(wǎng)卡配置文件，為你的主機(jī)設(shè)置一個(gè)合適的 IP 地址。注意把 DNS 地址設(shè)置為你的域控制器的地址。

編輯 /etc/network/interfaces 文件，添加 dns-nameservers 參數(shù)，并設(shè)置為 AD 服務(wù)器的 IP 地址;添加  dns-search 參數(shù)，其值為域控制器的主機(jī)名，如下圖所示。

并且，把上面設(shè)置的 DNS IP 地址和域名添加到 /etc/resolv.conf 配置文件中，如下圖所示：

為 AD 配置網(wǎng)絡(luò)設(shè)置

在上面的截圖中， 192.168.1.254 和 192.168.1.253 是 Samba4 AD DC 服務(wù)器的 IP 地址， Tecmint.lan  是 AD 域名，已加入到這個(gè)域中的所有機(jī)器都可以查詢到該域名。

3、重啟網(wǎng)卡服務(wù)或者重啟計(jì)算機(jī)以使網(wǎng)卡配置生效。使用 ping 命令加上域名來檢測 DNS 解析是否正常。

AD DC 應(yīng)該返回的是 FQDN 。如果你的網(wǎng)絡(luò)中配置了 DHCP 服務(wù)器來為局域網(wǎng)中的計(jì)算機(jī)自動(dòng)分配 IP 地址，請確保你已經(jīng)把 AD DC 服務(wù)器的  IP 地址添加到 DHCP 服務(wù)器的 DNS 配置中。

# systemctl restart networking.service # ping -c2 your_domain_name

4、***一步是配置服務(wù)器時(shí)間同步。安裝 ntpdate 包，使用下面的命令來查詢并同步 AD DC 服務(wù)器的時(shí)間。

$ sudo apt-get install ntpdate $ sudo ntpdate -q your_domain_name $ sudo ntpdate your_domain_name

AD 服務(wù)器時(shí)間同步

5、下一步，在 Ubuntu 機(jī)器上執(zhí)行下面的命令來安裝加入域環(huán)境所必需軟件。

$ sudo apt-get install samba krb5-config krb5-user winbind libpam-winbind libnss-winbind

在 Ubuntu 機(jī)器上安裝 Samba4 軟件

在 Kerberos 軟件包安裝的過程中，你會(huì)被詢問輸入默認(rèn)的域名。輸入大寫的域名，并按 Enter 鍵繼續(xù)安裝。

添加 AD 域名

6、當(dāng)所有的軟件包安裝完成之后，使用域管理員帳號來測試 Kerberos 認(rèn)證，然后執(zhí)行下面的命令來列出票據(jù)信息。

# kinit ad_admin_user # klist

使用 AD 來檢查 Kerberos 認(rèn)證是否正常

第二步：將 Ubuntu 主機(jī)添加到 Samba4 AD DC

7、將 Ubuntu 主機(jī)添加到 Samba4 活動(dòng)目錄域環(huán)境中的***步是編輯 Samba 配置文件。

備份 Samba 的默認(rèn)配置文件，這個(gè)配置文件是安裝 Samba 軟件的過程中自動(dòng)生成的，使用下面的命令來重新初始化配置文件。

# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial # nano /etc/samba/smb.conf 

在新的 Samba 配置文件中添加以下內(nèi)容：

[global] workgroup = TECMINT realm = TECMINT.LAN netbios name = ubuntu security = ADS dns forwarder = 192.168.1.1 idmap config * : backend = tdb idmap config *:range = 50000-1000000 template homedir = /home/%D/%U template shell = /bin/bash winbind use default domain = true winbind offline logon = false winbind nss info = rfc2307 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl inherit = Yes store dos attributes = Yes

Samba 服務(wù)的 AD 環(huán)境配置

根據(jù)你本地的實(shí)際情況來替換 workgroup ， realm ， netbios name 和 dns forwarder 的參數(shù)值。

由于 winbind use default domain 這個(gè)參數(shù)會(huì)讓 winbind 服務(wù)把任何登錄系統(tǒng)的帳號都當(dāng)作 AD  帳號。因此，如果存在本地帳號名跟域帳號同名的情況下，請不要設(shè)置該參數(shù)。

8、現(xiàn)在，你應(yīng)該重啟 Samba 后臺服務(wù)，停止并卸載一些不必要的服務(wù)，然后啟用 samba 服務(wù)的 system-wide  功能，使用下面的命令來完成。

$ sudo systemctl restart smbd nmbd winbind $ sudo systemctl stop samba-ad-dc $ sudo systemctl enable smbd nmbd winbind

9、通過下面的命令，使用域管理員帳號來把 Ubuntu 主機(jī)加入到 Samba4 AD DC 中。

$ sudo net ads join -U ad_admin_user

把 Ubuntu 主機(jī)加入到 Samba4 AD DC

10、在 安裝了 RSAT 工具的 Windows 機(jī)器上 打開 AD UC ,展開到包含的計(jì)算機(jī)。你可以看到已加入域的 Ubuntu 計(jì)算機(jī)。

確認(rèn) Ubuntu 計(jì)算機(jī)已加入到 Windows AD DC

第三步：配置 AD 帳號認(rèn)證

11、為了在本地完成 AD 帳號認(rèn)證，你需要修改本地機(jī)器上的一些服務(wù)和配置文件。

首先，打開并編輯名字服務(wù)切換 (NSS) 配置文件。

$ sudo nano /etc/nsswitch.conf

然后在 passwd 和 group 行添加 winbind 值，如下圖所示：

passwd:         compat winbind group:          compat winbind

配置 AD 帳號認(rèn)證

12、為了測試 Ubuntu 機(jī)器是否已加入到域中，你可以使用 wbinfo 命令來列出域帳號和組。

$ wbinfo -u $ wbinfo -g

列出域帳號和組

13、同時(shí)，使用 getent 命令加上管道符及 grep 參數(shù)來過濾指定域用戶或組，以測試 Winbind nsswitch 模塊是否運(yùn)行正常。

$ sudo getent passwd| grep your_domain_user $ sudo getent group|grep 'domain admins'

檢查 AD 域用戶和組

14、為了讓域帳號在 Ubuntu 機(jī)器上完成認(rèn)證登錄，你需要使用 root 帳號運(yùn)行 pam-auth-update 命令，然后勾選 winbind  服務(wù)所需的選項(xiàng)，以讓每個(gè)域帳號***登錄時(shí)自動(dòng)創(chuàng)建 home 目錄。

查看所有的選項(xiàng)，按 ‘[空格]’鍵選中，單擊 OK 以應(yīng)用更改。

$ sudo pam-auth-update

使用域帳號登錄 Ubuntu 主機(jī)

15、在 Debian 系統(tǒng)中，如果想讓系統(tǒng)自動(dòng)為登錄的域帳號創(chuàng)建家目錄，你需要手動(dòng)編輯 /etc/pam.d/common-account  配置文件，并添加下面的內(nèi)容。

session    required    pam_mkhomedir.so    skel=/etc/skel/    umask=0022

使用域帳號登錄 Debian 系統(tǒng)

16、為了讓 AD 用戶能夠在 Linux 的命令行下修改密碼，你需要打開 /etc/pam.d/common-password 配置文件，在  password 那一行刪除 use_authtok 參數(shù)，如下圖所示：

password [success=1 default=ignore] pam_winbind.so try_first_pass

允許域帳號在 Linux 命令行下修改密碼

17、要使用 Samba4 AD 帳號來登錄 Ubuntu 主機(jī)，在 su - 后面加上域用戶名即可。你還可以通過運(yùn)行 id 命令來查看 AD  帳號的其它信息。

$ su - your_ad_user

查看 AD 用戶信息

使用 pwd 命令來查看域帳號的當(dāng)前目錄，如果你想修改域帳號的密碼，你可以使用 passwd 命令來完成。

18、如果想讓域帳號在 ubuntu 機(jī)器上擁有 root 權(quán)限，你可以使用下面的命令來把 AD 帳號添加到 sudo 系統(tǒng)組中：

$ sudo usermod -aG sudo your_domain_user

登錄域帳號登錄到 Ubuntu 主機(jī)，然后運(yùn)行 apt-get-update 命令來更新系統(tǒng)，以驗(yàn)證域賬號是否擁有 root 權(quán)限。

給域帳號添加 root 權(quán)限

19、要為整個(gè)域用戶組添加 root 權(quán)限，使用 vi 命令打開并編輯 /etc/sudoers 配置文件，如下圖所示，添加如下內(nèi)容：

%YOUR_DOMAIN\\your_domain\  group                ALL=(ALL:ALL) ALL

為域帳號組添加 root 權(quán)限

使用反斜杠來轉(zhuǎn)義域用戶組的名稱中包含的空格，或者用來轉(zhuǎn)義***個(gè)反斜杠。在上面的例子中， TECMINT 域的域用戶組的名字是 “domain  admins" 。

前邊的 % 表明我們指定是的用戶組而不是用戶名。

20、如果你使用的是圖形界面的 Ubuntu 系統(tǒng)，并且你想使用域帳號來登錄系統(tǒng)，你需要修改 LightDM 顯示管理器，編輯  /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 配置文件，添加下面的內(nèi)容，然后重啟系統(tǒng)才能生效。

greeter-show-manual-login=true greeter-hide-users=true

現(xiàn)在你就可以域帳號來登錄 Ubuntu 桌面系統(tǒng)了。使用域用戶名或者域用戶名@域名.tld 或者域名\域用戶名的方式來登錄系統(tǒng)。

感謝各位的閱讀！關(guān)于“怎么使用Samba和Winbind將Ubuntu 16.04添加到AD域”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！