在Linux Mint系统中加入Windows Active Directory(AD)域,可以实现企业环境中用户账户的统一管理,让域用户能够直接使用AD账户登录Linux系统,并访问域资源,整个过程需要正确配置网络、安装必要工具、设置认证服务,并确保与域控制器的通信正常,以下是详细的操作步骤和注意事项。
环境准备
在开始加域操作前,需确保满足以下前提条件:
- 网络连通性:Linux Mint系统与域控制器(DC)网络互通,能够通过域名或IP地址访问DC。
- DNS配置:Linux Mint的DNS服务器地址必须指向域控制器,确保能够解析域的FQDN(如
example.com)和DC的主机名。 - 主机名设置:将Linux Mint的主机名设置为FQDN格式(如
linuxmint.example.com),避免使用短主机名导致域解析失败。 - 权限要求:需要域管理员账户(如
admin@example.com)的权限,用于授权系统加入域。
安装必要软件包
Linux Mint需要安装realmd及相关工具来管理域认证,realmd是系统自带的域管理工具,依赖sssd(System Security Services Daemon)处理用户和组信息,打开终端,执行以下命令安装所需软件包:
sudo apt update sudo apt install realmd sssd sssd-tools libnss-sss libpam-sss adcli oddjob oddjob-mkhomedir
各软件包功能说明如下:
| 软件包 | 功能 |
|---|---|
realmd |
域管理核心工具,用于发现、加入和退出域 |
sssd |
系统安全服务守护进程,管理AD用户认证和组信息 |
libnss-sss |
NSS(Name Service Switch)模块,使系统可通过SSSD解析域用户 |
libpam-sss |
PAM(Pluggable Authentication Modules)模块,支持域用户登录认证 |
adcli |
AD命令行工具,用于与域控制器交互(如创建计算机账户) |
oddjob-mkhomedir |
自动为域用户创建家目录的服务 |
配置网络和主机名
-
设置主机名:使用
hostnamectl命令将主机名修改为FQDN格式:sudo hostnamectl set-hostname linuxmint.example.com
验证主机名:
hostname,确保输出为linuxmint.example.com。 -
配置DNS:编辑
/etc/resolv.conf文件,将DNS服务器指向域控制器:sudo nano /etc/resolv.conf
添加以下内容(替换为实际域控制器IP):
nameserver 192.168.1.10 # 域控制器IP search example.com # 域名后缀
发现域信息
使用realm discover命令扫描并验证域是否可加入:
sudo realm discover example.com
如果域配置正确,会输出域的详细信息(如域名称、管理员组、DC地址等),若提示“未找到域”,需检查网络连通性、DNS配置及域控制器是否正常运行。
加入域
-
使用管理员账户加入域:执行以下命令(替换
admin@example.com为实际域管理员账户):sudo realm join example.com -U admin@example.com
系统会提示输入域管理员密码,输入后按回车,若成功,会显示“已加入域
example.com”。 -
验证域成员身份:
realm list
输出中应包含
example.com,且status为active,表示已成功加入域。
配置域用户登录
-
启用SSSD自动创建家目录:编辑
/etc/pam.d/common-session文件,在末尾添加以下内容:sudo nano /etc/pam.d/common-session
添加:
session required pam_mkhomedir.so skel=/etc/skel umask=0077
保存后退出,重启
oddjob服务:sudo systemctl restart oddjob
-
配置sudo权限:允许域管理员组使用
sudo,创建配置文件:sudo nano /etc/sudoers.d/domain-admins
添加以下内容(替换
Domain Admins为实际域管理员组名):
%Domain Admins@EXAMPLE.COM ALL=(ALL:ALL) ALL
注意:组名需大写,且后的域名需全大写。
测试域用户登录
- 注销当前用户,在登录界面选择“其他用户”,输入域用户账户(格式为
username@example.com)和密码,尝试登录。 - 验证家目录:登录后,执行
ls -la /home,应看到域用户的家目录(如/home/user)。 - 测试sudo权限:在终端执行
sudo ls /root,输入域用户密码后应能成功列出内容。
常见问题排查
-
加入域失败:
- 检查网络连通性:
ping example.com和ping 域控制器IP。 - 确认DNS配置正确,能解析域控制器主机名(如
ping dc.example.com)。 - 检查域控制器策略是否允许Linux Mint加入(如“计算机账户创建权限”)。
- 检查网络连通性:
-
域用户无法登录:
- 检查
sssd服务状态:sudo systemctl status sssd,确保未停止。 - 验证PAM配置:
sudo authconfig --test,确认sss已启用。 - 查看日志:
journalctl -u sssd,定位认证错误原因。
- 检查
FAQs
Q1:加入域后,如何修改域用户的家目录路径?
A:修改/etc/sssd/sssd.conf文件中的homedir参数,在[domain/example.com]部分添加:
homedir = /home/%d/%u # %d为域名,%u为用户名
保存后重启sssd服务:sudo systemctl restart sssd,新登录的域用户家目录将按新路径创建。
Q2:如何从域中移除Linux Mint系统?
A:执行以下命令(替换example.com为实际域名):
sudo realm leave example.com
移除后,需手动删除/etc/realmd.conf中的域配置,并重启系统,若需重新加入,需先清理旧的计算机账户(在AD的“Active Directory用户和计算机”中删除linuxmint计算机对象)。
原创文章,发布者:酷番叔,转转请注明出处:https://cloud.kd.cn/ask/26387.html
