Cómo unir una máquina Linux a un dominio de Windows AD
Para sistemas o software de administración de cuentas unificada, es posible que conozca NIS, OpenLDAP, samba o RedHat, productos de IBM en Linux y, por supuesto, el más famoso Active Directory (AD) en Windows, aquí discutiremos cómo. para unir una computadora Linux al dominio AD.
Primero, introduzcamos brevemente el dominio AD. AD ha sido el servicio de directorio y autenticación de Windows desde Windows 2000. AD implementa sus funciones basándose en LDAP, utilizando DNS para la resolución de nombres de host, Kerberos V5 para la autenticación de usuarios y LDAP V3 para la gestión unificada de cuentas.
Objetivo: en el dominio AD, unir el servidor Linux a AD para que los miembros del grupo de usuarios Administradores del dominio puedan iniciar sesión para operar el servidor Linux sin crear una cuenta separada en el servidor Linux.
Entorno: Un servidor con sistema operativo Windows Server 2012 R2, con AD instalado y sirviendo como controlador de dominio (DC), y también como servidor DNS y servidor de tiempo RedHat Enterprise Linux 6.x Server; , configure la red y la fuente YUM usted mismo. Con respecto al establecimiento del servidor de dominio AD, dado que es relativamente simple, consulte la información para completarlo usted mismo. No entraré en detalles aquí.
Aquí, la dirección del servidor de Windows es 192.168.2.122, el nombre de dominio es contoso.com y el nombre de host es ad.contoso.com la dirección del servidor de Linux es 192.168.2.150 y el nombre de host; es Lemon20.contoso.com.
1. Instale el software requerido:
# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate
2. Configure el servicio para que se inicie automáticamente e inicie el servicio:
# chkconfig smb on
# chkconfig winbind on
# service smb start
p># service winbind start
3. Modifique el archivo /etc/hosts y agregue el registro correspondiente al host:
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4.
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.2.150 Lemon20.contoso.com Lemon20
4. tiempo con el servidor AD:
p># echo "nameserver 192.168.2.122" >> /etc/resolv.conf
# ntpdate ad.contoso.com
5. Establecer tickets de Kerberos (opcional):
Destruir todos los tickets existentes:
# kdestroy
Compruebe si todavía hay tickets existentes:
p># klist
p>klist: No se encontró caché de credenciales (caché de ticket ARCHIVO:/tmp/krb5cc_0)
Genere un nuevo ticket, tenga en cuenta que el nombre de dominio está en mayúscula.
# kinit administrador@CONTOSO.COM
# klist
Caché de tickets: ARCHIVO:/tmp/krb5cc_0
Principal predeterminado: administrador @CONTOSO.COM
Inicio válido Vence Principal de servicio
02/08/16 22:35:26 03/08/16 08:35:29 krbtgt/CONTOSO.COM@CONTOSO .COM
renovar hasta el 09/08/16 22:35:26
6. Configure samba y Kerberos en modo comando y únase al dominio AD:
#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity ads --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc =ad .contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain
Preste atención a las mayúsculas en el comando. Este paso también se puede completar usando authconfig-tui.
7. Agregue permisos de sudo (opcional):
# visudo
Agregue la siguiente configuración:
%MYDOMAIN\\domain\ admins ALL=(ALL) NOPASSWD: ALL
8. Confirme si se ha unido al dominio AD correctamente:
Ver información relacionada con AD
# net ads info
p>Ver la cuenta de usuario de MYDOMAIN\USERID
# wbinfo -u
Suplemento:
Si selinux está habilitado, oddjobmkhomedir debe instalarse e iniciarse Su servicio, para garantizar que el sistema establezca el contexto de seguridad SELinux apropiado para el directorio de inicio creado.