Samba和AD完美结合.docVIP

Samba和AD完美结合 从Windows到Linux迁移之文件服务器（Samba和AD完美结合） 经过在网上查找好多资料，现在终于搞定了Samba的用户管理由AD 域控制器来执行，也就是说把samba 服务器加入到AD 域中，使之成为AD中的member server，这样就可以逐步把Windows的文件服务器向linux的（samba）文件服务器进行迁移，（我的目的就是要把WIN往linux上面迁移！呵呵，这样就是提高服务器的安全性和稳定性，在前期我做过使用desktop OS也换成linux，但是对我来说是可以的，而对大多数非专业人员、或者说企业内部人员，这是很难做到，所以最终可以在资金和安全方面考虑，把企业里面的服务器换成linux OS，这样是可以做到的，当然，有人也会说，把AD也换成Samba，不过我还没有去试过，以后再去试，再说，现在大多数企业环境还是离不开回win吧，呵呵，所以我认为把Samba加入到域是最好的一种方式，以后可以把ISA换成squid，exchange换成sendmail或是qmail等，最终还是要用AD来实现全网统一用户管理，所以我们要走的路还很长！在chinaunix 上面的已经有高手这样做到了，看来我要加油） Samba有两种方法来动态增加系统用户帐号 一、添加用户脚本 使用添加用户脚本可能是两种方法里面最简单的一种，因为它只需要一个配置选项。 添加用户脚本这个Samba配置选项可以在/etc/samba/smb.conf文件的[global]项里使用。 下面是一个示例： # if you only want the accounts created but do not want the users to have a real # login shell or their own home directory on the server, use something like this: # add user script = /usr/sbin/useradd -g smbusers -s /bin/false -d /dev/null -M %u # if you want to the domain users to have a real login shell and a home directory # on the server, use something like this instead: add user script = /usr/sbin/useradd -g smbusers -s /bin/bash %u 对一个连接用户，如果他成功通过身份认证，并且帐户在/etc/passwd里并不存在，添加用户脚本将为其创建一个系统帐户。除非被配置成其他的目录名，用户主目录将被创建成/home/username。 二、使用Windbind 详情参看《Samba有两种方法来动态增加系统用户帐号》 我的实际例：可以参看/blog/static/3610065200762614516829 1． 实现环境 Fedora 7 + Squid 2.6 + Samba 3.0 + Krb5 2． 软件包安装 Samba及Krb5均通过yum安装最新版本。 3． Kerberos配置 Win2003系统默认通过Kerberos做身份验证，Kerberos验证需要安装Krb5软件包。配置文件及测试都很简单。Krb5的配置文件为/etc/krb5.conf，配置如下 [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TEST.COM dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TEST.COM = { kdc = 00:88 admin_server = 00:749 default_domain = TEST.COM } [domain_realm] . = TEST.COM = TEST.COM [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true