### Linux加入Windows AD详解
#### 一、引言
随着企业环境越来越复杂,跨平台的系统集成成为一种必要。在很多情况下,企业内部既有Windows系统又有Linux系统,为了实现资源的有效共享与统一管理,通常会选择将Linux系统加入到Windows的Active Directory (AD) 域中。这样不仅方便了用户身份验证,还简化了资源访问流程。
#### 二、准备工作
在将Linux系统加入Windows AD域之前,我们需要进行一系列的准备工作,包括但不限于安装必要的软件包和配置相关的服务。
##### 1. 安装Samba
Samba是一款允许Linux和其他非Windows系统通过SMB协议(Server Message Block)来与Windows系统通信的软件。它提供了文件共享、打印服务以及与Windows Active Directory的集成等功能。
- **安装Samba:**
- 在大多数Linux发行版中,可以通过包管理器安装Samba。例如,在基于RPM的系统上可以使用命令 `yum install samba` 或 `dnf install samba`。
- 验证Samba编译时是否启用了对LDAP、Kerberos和Active Directory的支持,可以通过执行 `smbd --build-info | grep LDAP`、`smbd --build-info | grep KRB` 和 `smbd --build-info | grep ADS` 来检查。
##### 2. 配置Kerberos
Kerberos是一种网络认证协议,用于在网络环境中提供安全的身份验证机制。它是Samba与Windows AD集成的关键组件之一。
- **编辑 `/etc/krb5.conf` 文件**:
- 设置默认的Kerberos领域为 Windows AD 的领域名。
- 配置KDC (Key Distribution Center) 和 admin server 的地址。
- 示例配置:
```ini
[libdefaults]
default_realm = SZ.AAA.COM
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
SZ.AAA.COM = {
kdc = 192.168.1.200:88
admin_server = 192.168.1.200:749
default_domain = SZ.AAA.COM
}
[domain_realm]
.SZ.AAA.COM = SZ.AAA.COM
SZ.AAA.COM = SZ.AAA.COM
```
- 使用 `kinit` 命令获取票据,例如 `kinit [email protected]`。
##### 3. 配置Samba
Samba的配置文件通常是 `/etc/samba/smb.conf`,需要修改以支持与Windows AD的集成。
- **关键配置项**:
- `workgroup` 应设置为与Windows AD相同的名称。
- `realm` 应设置为Windows AD的完整域名。
- `security` 应设置为 `ADS` 以启用Active Directory集成。
- `passwordserver` 指定AD服务器的IP地址。
- `winbind usedefaultdomain` 设置为 `yes` 以便自动选择默认领域。
- `idmap uid` 和 `idmap gid` 用来定义用户ID和组ID的映射范围。
##### 4. 配置Winbind
Winbind是Samba的一部分,用于处理Unix/Linux系统与Windows AD之间的用户和组映射。
- **编辑 `/etc/nsswitch.conf` 文件**:
- 将 `passwd` 和 `group` 的查找顺序更改为 `files winbind`。
- 测试配置是否正确,可以使用 `wbinfo -u` 和 `wbinfo -g` 命令查看用户和组信息。
##### 5. 集成Apache与NTLM认证
如果要在Web应用中使用Windows AD认证,可以通过Samba提供的模块 `mod_auth_ntlm_winbind` 实现。
- **下载并编译模块**:
- 从Samba官方网站下载源代码,并编译安装。
- 编辑 `httpd.conf` 文件加载 `mod_auth_ntlm_winbind` 模块。
- 在需要保护的目录中启用NTLM认证。
#### 三、总结
通过以上步骤,我们已经成功地将Linux系统加入到了Windows AD域中。这意味着Linux用户现在可以直接使用他们的AD凭据登录Linux系统,并且可以透明地访问Windows AD中的资源,极大地提高了跨平台环境下的工作效率和安全性。需要注意的是,具体的配置细节可能因不同的Linux发行版和Samba版本而有所不同,因此在实际操作中还需根据实际情况调整。
