Linux加入windows域同步用户名.docVIP

Linux 加入windows域同步用户名  测试环境 域环境基于windows 2003 AD Linux下有完整的域名解析，能够解析到ad域的netbios名（短名） Linux下有本机（linux主机）的解析，可以在dns中写A记录，也可以在/etc/hosts中填写 Linux必须安装winbind服务（包含在samba-common中） 实验中使用的域名：TEST.COM DC主机名：AD.TEST.COM DC上有DNS和DHCP服务 DHCP指定了scope option中的DNS和Router DC的ip地址为54/24 Linux使用Redhat 5.7 X64 安装samba-common包 Linux服务器的ip地址为/24 dns指向54 本地的/etc/hosts文件如下 /etc/resolv.conf配置为 修改kerberos指向DC 修改本地的/etc/krb5.conf 红色部分做修改，其他部分不变，此处根据以上环境修改，实际实施请根据项目环境替换正确的值，端口号不变 [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TEST.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TEST.COM = { kdc = 54:88 kdc = 54 } [domain_realm] . = TEST.COM = TEST.COM [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 修改/etc/samba/smb.conf 在[global]区块内 修改为 workgroup = TEST password server = 54 realm = TEST.COM security = ads idmap uid =33554431 idmap gid =33554431 template shell = /bin/bash winbind use default domain = false winbind offline logon = false template homedir = /home/%U winbind separator = / winbind enum users = Yes winbind enum groups = Yes server string = Samba Server Version %v netbios name = linux encrypt passwords = yes 修改nsswitch 修改本地的/etc/nsswitch文件 找到passwd，shadow，group 修改为 #passwd: db files nisplus nis 原配置 #shadow: db files nisplus nis原配置 #group: db files nisplus nis原配置 passwd: files winbind 新配置 shadow: files winbind 新配置 group: files winbind 新配置 加入windows域 键入Kinit administrator@TEST.COM 提示输入域管理员的密码 如果前面动作都成功的话，这里可以正常加入域 能在dc中的computer容器中看到当前这台linux服务器。 重启服务器，用getent passwd查看用户同步是否成功 尝试su – test/testuser登陆(域用户用户名大小写不敏感) 经测试在AD中新增用户，linux可以自动同步到新建的用户，但是可能要等个几分钟 修改pam.d 可以看到在smb.conf中我们定义了templ