linux加入域终于成功了。

经过网上找资料,发现最多的问题就是加入域时出现错误提示:

Failed to join domain: failed to join domain 'CNGPD.COM' over rpc: Access denied

或者其它错误。


第一种:

是在虚拟机中测试成功的。

现在我贴图分享下成果



将linux添加进ldap域控 linux怎么添加域_操作系统



保存,测试通信

kinit administrator@CNGPD.COM (必须大写的域名)


如果正常通信会返回到命令行,否则会显示出错



下面vi /etc/samba/smb.conf



将linux添加进ldap域控 linux怎么添加域_将linux添加进ldap域控_02


接着:



将linux添加进ldap域控 linux怎么添加域_运维_03


最后加入域 :

net ads join -S cngpd.com -U domanadminusername


另一种方法加域

net rpc join -S cngpd.com -U Administrator

或者

是 net ads join -U administrator@CNGPD.COM

net rpc join -U administrator@CNGPD.COM


这两种没有研究,不知道有什么区别哈。。


测试成功与否 : net rpc testjoin或 wbinfo -t



将linux添加进ldap域控 linux怎么添加域_运维_04






第二种方法,在真机测试成功


linux加入win2003域

编辑krb5.conf

#vim /etc/krb5.conf 修改后如下,大小写敏感,这里保持原配置文件风格使用大写
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = CNGPD.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
CNGPD.COM = {
 kdc = 192.168.50.3:88
 admin_server = 192.168.50.3:749
 default_domain = CNGPD.COM
}

[domain_realm]
.cngpd.com = CNGPD.COM
cngpd.com = CNGPD.COM

[appdefaults]
pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
}

其中主要是吧默认域改成自己建立的win2003的域,CNGPD.COM


用下面命令测试下

kinit administrator@CNGPD.COM

提示输入密码; 正常情况下会返回到命令行。


修改smb.conf配置文件

#vim /etc/samba/smb.conf 主要做的修改如下,其他保持默认
[global]
workgroup = CNGPD.COM
server string = Samba Server Version %v
netbios name = centos
# ----------------------- Domain Members Options ------------------------
security = ads
passdb backend = tdbsam
realm = cngpd.com
password server = 192.168.50.3 192.168.50.6

修改完重启samba
#/etc/init.d/smb restart
同步时钟,加入域必须时差在5分钟内!
#ntpdate 192.168.50.3
加入域
# net rpc join -S cngpd.com -U administrator
或者输入net ads join -U administrator@CNGPD.COM

net rpc join -U administrator@CNGPD.COM 我是这个加入成功的。

Joined domain LINUX.

提示加入成功



下面配置如何登录域

登录到域控制器

修改smb.conf加入如下内容

idmap uid = 15000 - 350000
idmap gid = 15000 - 350000
template shell = /sbin/bash 或者是 /sbin/nologin
template homedir = /home/%U
winbind separator = /
winbind use default domain = yes
winbind offline logon = yes 
winbind enum users = yes
winbind enum groups = yes
encrypt passwords = yes

[homes] 
comment = Home Directories 
path =/home/%U 
valid users =CNGPD.COM/%U
read only = No 
 browseable = No



修改nsswitch.conf如下:vi /etc/nsswitch.conf

passwd: files winbind
shadow: files winbind
group: files winbind

重启samba和winbind服务
#/etc/init.d/smb restart
#/etc/init.d/winbind restart




加入成功后就测试一下!

#wbinfo -t


将linux添加进ldap域控 linux怎么添加域_操作系统_05

已经OK

再运行下wbinfo -u wbinfo -g 看用户和组同步过来没有。




..........................


- 总结#LINUX ADS#部署过程


其它的测试命令如 

net ads info //查询AD域基本资料 
net getdomainsid //查询AD域ID号码



注: 退出域的命令是:net ads leave -U administrator


加入开机启动

chkconfig --level 35 smb on 
chkconfig --level 35 nmb on chkconfig --level 35 winbind on

查看端口 

netstat -antup |grep smb 
netstat -antup |grep nmb



同步服务器时间 ntpdate -b 192.168.50.3 # ad服务器IP

* 安装软件包
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2

* 依次对配置文件进行修改
 /etc/nsswitch.conf
 /etc/samba/smb.conf
 /etc/krb5.conf
* 模板见上,修改的重要地方已标出
- 排错
* 检查服务是否正常运行
* 检查配置文件是否正确
* 检查日志
* 检查DNS设置: 应该为Windows域主DNS
* 检查防火墙配置与SELINUX配置
配置完后通过 testparm 来检查

# 认证测试* wbinfo -t 
* wbinfo -u* wbinfo -g

很多资料是从网上找到的,但经常照做还是出现错误 。经过测试还是有些地方需改动。。以上是做真机测试成功的。