当前位置:首页 > 行业动态 > 正文

如何在Linux上搭建AD服务器?

在linux上搭建ad服务器,需要安装samba或likewise-open等软件,配置域名、工作组和共享资源。

Linux AD服务器搭建

一、前言

如何在Linux上搭建AD服务器?  第1张

在企业级应用中,Linux系统与Windows AD(Active Directory)域的集成能够实现统一的身份认证和管理,提高系统的安全性和管理效率,本文将详细介绍如何在Linux系统中搭建AD服务器,并实现与Windows AD域的无缝集成。

二、所需软件和环境准备

1、操作系统:Red Hat Enterprise Linux 6.x或以上版本。

2、网络配置:确保Linux服务器与AD域控制器之间的网络连接正常。

3、软件包:samba-client、samba-common、samba-winbind、krb5-workstation、oddjob、oddjob-mkhomedir、sssd等。

三、安装所需软件

在Linux服务器上执行以下命令以安装必要的软件包:

yum -y install samba samba-client samba-common samba-winbind samba-winbind-clients krb5-workstation oddjob oddjob-mkhomedir adcli

四、配置服务自启动并启动服务

设置smb和winbind服务自启动并启动服务:

chkconfig smb on
chkconfig winbind on
service smb start
service winbind start

五、修改/etc/hosts文件

添加主机对应记录:

127、0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192、168.2.150 lemon20.contoso.com lemon20

六、设置DNS地址并与AD服务器同步时间

将AD服务器的IP地址添加到/etc/resolv.conf文件中:

echo "nameserver 192.168.2.122" >> /etc/resolv.conf

使用ntpdate命令与AD服务器同步时间:

ntpdate ad.contoso.com

七、配置Kerberos票据(可选)

销毁已经存在的所有票据:

kdestroy

查看当前是否还存在票据:

klist

生成新的票据,注意域名大写:

kinit administrator@CONTOSO.COM
klist

八、加入AD域

以命令方式设置samba与Kerberos,并加入AD域:

#authconfig --enablewinbind --enablewins --enablewinbindauth --smbsecurity ads --smbworkgroup=CONTOSO --smbrealm CONTOSO.COM --smbservers=ad.contoso.com --enablekrb5 --krb5realm=CONTOSO.COM --krb5kdc=ad.contoso.com --krb5adminserver=ad.contoso.com --enablekrb5kdcdns --enablekrb5realmdns --enablewinbindoffline --winbindtemplateshell=/bin/bash --winbindjoin=administrator --update --enablelocauthorize --enablemkhomedir --enablewinbindusedefaultdomain

九、增加sudo权限(可选)

编辑/etc/sudoers文件,加入下列设置:

%MYDOMAIN\domain admins ALL=(ALL) NOPASSWD: ALL

十、确认是否正确加入AD域

查看AD的相关信息:

net ads info

查看MYDOMAINUSERID的使用者帐户:

wbinfo -u

如果启用SELinux,需要安装oddjobmkhomedir并启动其服务:

yum install oddjobmkhomedir -y
service oddjobd on

十一、配置AD用户登录信息

给Linux终端配置用户登录的权限,允许LiXiang用户的登录权限:

realm permit LiXiang@qianxishuibeng.com
允管理用户组的登录权限:
realm permit -g 'Domain Admins'

配置sudo权限配置文件:

vim /etc/sudoers.d/domain_admins

添加单个用户权限:

LiXiang@qianxishuibeng.com    ALL=(ALL)   ALL

示例userb2@example-company.com ALL=(ALL) ALL

添加组权限:

%ITGroup@qianxishuibeng.com     ALL=(ALL)   ALL

测试域用户ssh登录:

ssh localhost -l LiXiang@qianxishuibeng.com

十二、配置手动挂载SMB文件系统

安装软件包:

yum install keyuti -y

手动挂载SMB文件系统只需要进行一次,验证连通性即可,后期通过自动挂载的方式实现Linux终端访问共享存储。

FAQs

Q1:如何确认Linux服务器已成功加入AD域?

A1:可以通过执行net ads info命令查看AD的相关信息,或者通过wbinfo -u命令查看特定用户的帐户信息来确认,如果能够正确显示AD域的信息和用户帐户,说明Linux服务器已成功加入AD域。

Q2:在配置过程中遇到“无法连接到AD域控制器”的错误提示怎么办?

A2:首先检查Linux服务器与AD域控制器之间的网络连接是否正常,包括IP地址、子网掩码、网关和DNS服务器的配置,然后确认AD域控制器上的相关服务(如DNS、LDAP等)是否正常运行,如果问题仍然存在,可以尝试重启Linux服务器和AD域控制器上的相关服务,或者检查防火墙设置是否阻止了相关的网络通信。

以上内容就是解答有关“linux ad服务器搭建”的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。

0