samba集成AD域控（ubuntu-16.04）

1、检测是否已有samba服务在运行

有的话停止服务

2、安装依赖包

(假设配置的域名为：sendo.com)

3、配置/etc/samba/smb.conf

4、配置创建用户home目录的脚本

5、配置/etc/krb5.conf

6、samba加域

这里最好在/etc/network/interfaces里面配置一下dns，否则有可能和公网的域名冲突，会导致加域不成功

如图所示则就是加域成功了。

7、配置/etc/nsswitch.conf

8、重启服务测试是否成功

9、配置PAM（This makes it possible to log onto a UNIX/Linux system using user and group accounts from a Windows NT4 (including a Samba domain) or an Active Directory domain）

10、重启服务

参考文档：

https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto

https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory

https://www.samba.org/samba/docs/old/Samba3-HOWTO/winbind.html

https://wiki.samba.org/index.php/Distribution-specific_Package_Installation

https://blog.csdn.net/quantumenergy/article/details/78090242

1、安装所需软件:

# yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation ntpdate

2、设置服务自启动并启动服务:

# chkconfig smb on

# chkconfig winbind on

# service smb start

# service winbind start

3、修改 /etc/hosts 文件,添加主机对应记录:

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4::1 localhost localhost.localdomain localhost6 localhost6.localdomain

192.168.2.150 lemon20.contoso.com

4、设置 DNS 地址并与 AD 服务器同步时间:

# echo "192.168.44.108" >>/etc/resolv.conf

# ntpdate ad.contoso.com

5、设置 Kerberos 票据(可选):

销毁已经存在的所有票据:

# kdestroy

查看当前是否还存在票据:

# klist klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

生成新的票据,注意域名大写。

#kinit administrator@SANY.COM.CN #检查krb5能否正确请求kerbroes票据

6、以命令方式设置 samba 与 Kerberos,并加入 AD 域:

#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity domain --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc=ad.contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain

注意命令中的大小写,此步骤也可以使用 authconfig-tui 完成，加入后会提示No DNS domain configured for pmsamba. Unable to perform DNS Update.

DNS update failed: NT_STATUS_INVALID_PARAMETER，此警告可以忽略！

7、增加 sudo 权限(可选):

# visudo

加入下列设置:

%MYDOMAIN//domain/ admins ALL=(ALL) NOPASSWD: ALL

8、确认是否正确加入 AD 域:

查看 AD 的相关信息

# net ads info

# wbinfo -u

#wbinfo -t

#wbinfo -g

#getent passwd

#getent group

#testparm#测试smb.conf是否正确

问题排错:

Cannot find KDC for requested realm while getting initial credentials dns未正确指向

KDC reply did not match expectations while getting initial credentials 域名不对或者时间不同步

一般检测会提示：

WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.

(by default Samba will discover the correct DC to contact automatically).

系统认为己设置了“security = ADS”就不必设置“password server =”因为samba会自己认到，可以忽略此警告！

你好，具体 *** 作方法如下：$ sudo vim /etc/samba/smb.conf在smb.conf最后添加：[share]path = /home/sharebrowseable = yeswritable = yescomment = smb share test另外，总结一下常见的samba配置及说明：[share] # 该共享的共享名comment = smb share test # 该共享的备注path = /home/share # 共享路径allow hosts = host(subnet) # 设置该Samba服务器允许的工作组或者域deny hosts = host(subnet) # 设置该Samba服务器拒绝的工作组或者域available = yesno # 设置该共享目录是否可用browseable = yesno # 设置该共享目录是否可显示writable = yesno # 指定了这个目录缺省是否可写，也可以用readonly = no来设置可写public = yesno # 指明该共享资源是否能给游客帐号访问，guest ok = yes其实和public = yes是一样的user = user, @group # user设置所有可能使用该共享资源的用户，也可以用@group代表group这个组的所有成员，不同的项目之间用空格或者逗号隔开valid users = user, @group # 指定能够使用该共享资源的用户和组

---