Linux 系统中,可使用 realm 等相关工具,通过配置相关参数及进行身份验证等
前期准备
- 系统环境:确保Linux系统已正确安装并正常运行,建议使用较新的稳定版本,如CentOS、Red Hat Enterprise Linux、Ubuntu等常见发行版,不同发行版的软件包管理和配置方式可能会略有差异,但整体步骤大致相同。
- 网络配置:保证Linux系统与AD域控制器在同一网络中,并且能够正常通信,为Linux系统设置静态IP地址,以便在域环境中保持稳定的网络连接,在CentOS系统中,可以通过修改
/etc/sysconfig/network-scripts/ifcfg-eth0(网卡配置文件,具体网卡名称可能因系统而异)文件来设置静态IP,配置如下:
| 参数 | 值 |
| –| –|
| DEVICE | eth0 |
| BOOTPROTO | static |
| IPADDR | 192.168.1.100(根据实际网络情况设置) |
| NETMASK | 255.255.255.0 |
| GATEWAY | 192.168.1.1(根据实际情况设置网关) | -
DNS设置:将Linux系统的DNS服务器指向AD域控制器的IP地址,以确保能够正确解析域名相关的信息,修改 /etc/resolv.conf文件,添加如下内容(假设AD域控制器IP为192.168.1.1):nameserver 192.168.1.1 - 主机名与FQDN设置:设置合适的主机名,并确保主机名符合AD域的命名规则,避免使用特殊字符,配置完全限定域名(FQDN),使Linux系统在域中具有唯一的标识,在CentOS系统中,可以修改
/etc/sysconfig/network文件中的HOSTNAME参数为linuxhost.example.com(其中example.com为AD域名)。 - 时间同步:保持Linux系统与AD域控制器的时间同步至关重要,因为Kerberos认证要求时间差在5分钟之内,可以使用
ntpdate命令来同步时间,例如执行ntpdate 192.168.1.1(假设AD域控制器IP为192.168.1.1)。
安装相关软件包
- Samba:Samba是一个开源软件,它允许Linux和类Unix系统与Microsoft Windows网络无缝协作,通过Samba,Linux系统可以作为Windows域的一部分,提供文件和打印共享,并支持AD域内的用户身份验证,在CentOS系统中,可以使用
yum install samba samba-common samba-client命令来安装Samba相关软件包;在Ubuntu系统中,可以使用apt-get install samba samba-common samba-client命令。 - Kerberos组件:Kerberos是一种网络认证协议,它提供了强大的身份验证服务,在Linux加入AD域的过程中,Kerberos服务负责验证用户身份,使得Linux客户端可以在AD域内进行安全的身份验证,通常可以使用
yum install krb5-workstation krb5-libs(CentOS)或apt-get install krb5-user(Ubuntu)命令来安装Kerberos相关组件。 - 其他工具:根据不同的加入域方法和需求,可能还需要安装一些其他工具,如果使用
realmd和oddjob工具来管理域成员关系,需要安装realmd和oddjob软件包,在CentOS中,可以使用yum install realmd oddjob命令进行安装;在Ubuntu中,可以使用apt-get install realmd oddjob命令。
配置Samba
- 编辑Samba配置文件:Samba的主要配置文件是
/etc/samba/smb.conf,在该文件中,需要进行一些关键配置,以实现与AD域的集成,主要配置项包括:[global]部分:设置工作组为AD域名,例如workgroup = EXAMPLE(假设AD域名为example.com)。security = ADS:指定Samba使用AD域的安全模式。realm = EXAMPLE.COM:指定AD域的领域。password server = *:表示所有服务器都可以作为密码服务器。encrypt passwords = true:启用密码加密。dns proxy = no:关闭DNS代理,避免与AD域的DNS冲突。
- 加入AD域:使用
smbpasswd -a命令为AD域管理员创建一个Samba用户密码文件条目,如果AD域管理员用户名为administrator,则执行smbpasswd -a administrator,然后输入该用户的密码,之后,使用net ads join -U administrator命令将Linux系统加入AD域,其中administrator是具有加入域权限的用户账号。
配置Kerberos
- 编辑Kerberos配置文件:Kerberos的配置文件是
/etc/krb5.conf,在该文件中,需要进行以下配置:[libdefaults]部分:设置默认的领域(realm)为AD域名,例如default_realm = EXAMPLE.COM。[realms]部分:为AD域添加一个条目,指定KDC(密钥分发中心)服务器的地址,例如EXAMPLE.COM = { kdc = 192.168.1.1 admin_server = 192.168.1.1 }(假设AD域控制器IP为192.168.1.1)。
- 获取Kerberos票据:使用
kinit命令获取Kerberos票据,以便进行后续的认证操作,执行kinit administrator@EXAMPLE.COM,然后输入AD域管理员的密码,即可获取票据。
配置NSS和PAM
- 编辑
/etc/nsswitch.conf文件:该文件用于配置系统查找用户、组等信息的顺序,为了优先使用AD域中的信息,需要对文件进行修改,找到passwd、group和shadow等行,将它们的查找顺序调整为先使用winbind,
| 原配置 | 修改后配置 |
| –| –|
| passwd: files | passwd: winbind files |
| group: files | group: winbind files |
| shadow: files | shadow: winbind files | - 编辑PAM配置文件:PAM(可插拔认证模块)用于控制用户的认证过程,在Linux系统中,通常需要编辑
/etc/pam.d/common-auth、/etc/pam.d/common-account、/etc/pam.d/common-session和/etc/pam.d/common-password等PAM配置文件,添加与AD域认证相关的配置,在/etc/pam.d/common-auth文件中,添加以下行:auth required pam_winbind.so
重启相关服务
完成上述配置后,需要重启相关服务以使配置生效,可以使用以下命令重启Samba服务和Winbind服务(Winbind是Samba的一个组件,用于提供与Windows域的用户认证集成):
systemctl restart smb
systemctl restart winbind验证加入域是否成功
- 使用域用户登录:尝试使用AD域中的用户账号登录Linux系统,如果能够成功登录,说明Linux系统已成功加入AD域。
- 查看系统日志:检查系统日志文件,如
/var/log/messages或/var/log/syslog(具体日志文件路径可能因系统而异),查看是否有与加入AD域相关的成功信息记录。
FAQs:
问题1:加入AD域后,Linux系统无法登录域用户,提示认证失败怎么办?
解答:首先检查输入的域用户名和密码是否正确,然后确认Linux系统的网络连接是否正常,以及是否能够与AD域控制器通信,接着检查Kerberos配置文件/etc/krb5.conf中的领域(realm)和KDC服务器地址是否正确配置,还可以查看系统日志文件,查找更详细的错误信息,以便进一步排查问题,如果问题仍然存在,可以尝试重新获取Kerberos票据(使用kinit命令)或重启相关服务(如Samba服务和Winbind服务)。
问题2:如何在Linux系统中退出AD域?
解答:要退出AD域,可以使用net ads leave -U administrator命令(其中administrator是具有离开域权限的用户账号),或者使用realm leave命令(如果使用了realmd工具管理域成员关系),在执行这些命令时,可能需要输入AD域管理员的密码进行确认。
各位小伙伴们,我刚刚为大家分享了有关linux如何加入ad域的知识,希望对你们有所帮助。如果您还有其他相关问题需要解决,欢迎随时提出哦!
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/10252.html
