一、安装AD域
运行dcpromo命令,安装AD域。
步骤:
1.win+R
2.dcpromo
图例:
百度百科关于“dcpromo”解释:
dcpromo命令是一个“开关”命令。如果Windows 2000 Server计算机是成员服务器,则 运行dcpromo命令会安装活动目录,将其升级为域控制器;如果Windows 2000 Server计算机 已经是域控制器,则运行dcpromo命令会卸载活动目录,将其降级为成员服务器。
二、常用功能
创建用户、创建组织等等
三、禁用强制密码策略
四、允许创建用户登录
把域控用户添加到、、、、策略。
1、使用VM创建虚拟机,并设置静态IP
使用NAT方式
1)设置Virtual NetWork Editor
需要注意将Use local DHCP service to distribute IP address to VMS 设置为取消选中状态。
点击NAT Settings查看网关IP
2)宿主机设置网络共享
2、windows搭建AD域
请读者参看:
http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG
3、Linux加入AD域
-
yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog
-
yum install samba-winbind samba samba-common samba-client samba-winbind-clients
1)修改DNS
(1) 编辑网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0,添加DNS为AD域服务器地址,如:DNS1=192.168.56.10,其中192.168.56.10是AD域服务器IP。
(2) 编辑/etc/sysconfig/network更改主机名: 更改为长主机名,主机名加域名:例如域:domian.com,更改后的主机名host.domian.com.
(3) 执行service network restart,重启网络。
(4) 以上操作完成后,在命令行执行ping domain.com应该可以ping通,其中domain.com是AD域的域名。如果ping不通,请检查防火墙以及DNS的配置。
2)时间同步
请读者参看http://blog.csdn.net/ablo_zhou/article/details/5658916
3)加域
(1)setup命令
(2)
(3)
(4) 这里选择/bin/bash
(5)
(6) 成功后将会显示如下提示:
(7) 编辑/etc/samba/smb.conf,修改如下一行,可以实现登录时不需要输入域名 winbind use default domain = true
(8) 启动相关服务并设置开机自启动,执行如下命令:
Service smb start
Chkconfig smb on
4)测试加域是否成功
(1) # wbinfo –t ##测试RPC通讯,提示succeeded表示成功
cheTEST the trust secret for domain DOMAIN via RPC calls succeeded
(2)# wbinfo -u ##查看域用户
DOMAIN\guest
DOMAIN\administrator
DOMAIN\krbtgt
DOMAIN\barlowliu
……以下省略……
(3) ##如果如上,则读取正常
(4)# wbinfo -g ##查看域组
DOMAIN\domain computers
DOMAIN\cert publishers
DOMAIN\domain users
DOMAIN\domain guests
DOMAIN\ras and ias servers
DOMAIN\domain admins
DOMAIN\schema admins
DOMAIN\enterprise admins
……以下省略……
上述两个命令执行后如果可以看到域中的用户和组则正常。如果提示如下,则表示与域控制器同步还未完成。
(5)测试ntlm组件
// 关闭防火墙
ntlm_auth --username=administrator
password: ##输入用户密码
NT_STATUS_OK: Success (0x0)
(6)验证代域
# net ads testjoin
Join is OK
4. 创建共享目录,即用户家目录
(1) 创建用户家目录,在此以/apps为例,具体目录可以自己规定,注意/etc/samba/smb.conf配置文件也要相应的改变,并要把家目录设为共享目录,
共享目录设置请参考nfs文件共享
mkdir /apps
chmod 777 /apps
(2) 编辑文件/etc/samba/smb.conf,在[global]添加如下几行:
template homedir = /apps/%D/%U
follow symlinks = yes
wide links = yes
unix extensions = no
在[homes]下添加如下几行:
[homes]
comment = Home Directories
read only = no
writeable = yes
(3)编辑/etc/pam.d/system-auth以及/etc/pam.d/sshd,两个文件中都加入如下一行:
session required pam_mkhomedir.so skel=/etc/skel umask=0077
(4)启动相关服务,执行如下三个命令
service smb restart
(5) 测试家目录是否可以成功创建,在命令行su成AD域用户jhadmin,在家目录/apps/domain下查看是否创建用户的家目录(与jhadmin同名的目录),
如果成功创建,则相关配置正确。
5. 解决uid不同问题
将以下内容拷贝到/etc/samba/smb.conf的[global]中
idmap uid =20000-29999
idmap gid =20000-29999
idmap config domain:backend= rid
idmap config domain:range = 20000000-29999999 注意:domain(为短域名大写)
winbind enum users =yes
winbind enum groups= yes
winbind separator =+
注:如果uid仍不统一,则需要清理samba数据库:rm –rf /var/lib/samba/*.tdb,然后重新加域。
6. 使用域账户直接登录
重新启动linux,账户名输入域账户,传统为HADOOP\user ,经过上述配置读者可以直接使用用户名称,而不用再加短域名。
原文地址:https://www.cnblogs.com/klb561/p/9271279.html