aaaaaa毛片免费看,亚洲аv电影天堂网,国产日韩一区二区三区在线观看

測試環(huán)境vmware

DC&DNS:Windows Server 2003 rc2 sp2 企業(yè)版. 計算機名為：DC myad.com 完整的計算機名為ms-aaaa ip：192.168.20.148

Linux:CentOS 5.1 hostname為localhost.localdomain ip: 192.168.20.170

域名：myad.com

2.試驗目的:將Linux加入到Windows域,并實現(xiàn)Windows域帳戶登陸Linux服務器.

3.準備工作:

a.在一臺機器上安裝Windows Server 2003 rc2 ,并升級為DC,同時集成DNS服務.用運行里dcpromo來設置ad活動目錄和dns。

   b.Linux的準備工作也很簡單,主要是檢查以下幾個包是否被安裝:
      #rpm -qa|grep samba
     samba-3.0.23c-2

samba-common-3.0.23c-2

samba-client-3.0.23c-2 //samba的相關包

#rpm -qa|grep krb5
krb5-libs-1.5-17

krb5-workstation-1.5-17

krb5-devel-1.5-17

pam_krb5-2.2.11-1 //kerberos相關的軟件包

主要就用到這些包,由于各Linux發(fā)行版本的不同,包的版本或許會有差異.

4.配置步驟:

a.修改ip用系統(tǒng)的setup配置也可以用vi /etc/sysconfig/network-script/ifcfg-eth0和dns用vi /etc/resolv.conf.但是要注意防火墻(iptables)和SELinux.

你可以把iptables規(guī)則清空,并禁用SELinux

清空iptables規(guī)則命令如下:

#iptables -F
禁用SELinux方式如下:cli下用setup命令配置

#vi /etc/selinux/config

將其中的 SELINUX=enforcing

改成 SELINUX=disable
b.修改/etc/krb5.conf文件，該文件是kerberos的配置文件， Kerberos 是大小寫敏感的。

典型的krb5.conf文件如下：

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYAD.COM//修改windows的dc
ticket_lifetime = 24000
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MYAD.COM = {
kdc = ms-aaaa.myad.com:88
admin_server = ms-aaaa.myad.com:749
default_domain = myad.com
}

[domain_realm]
.myad.com = MYAD.COM
myad.com = MYAD.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

其中需要我們修改的地方很少,以我的例子為例,修改后的文件如下:

修改完畢后運行下面的命令查看kerberos文件是否有誤:

kinit administrator@MYAD.COM

能遇到的幾個常見錯誤:域名錯誤：
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
密碼錯誤，驗證失?。?br>kinit(v5): Preauthentication failed while getting initial credentials. 用戶不存在:kinit(v5): Client not found in Kerberos database while getting initial credentia 時間不一致:kinit(v5): Clock skew too great while getting initial credentials

其中administrator是域管理員賬戶,MYAD.COM是你的域名.

回車鍵后,會提示你輸入密碼,如果沒有什么錯誤.在你輸入密碼回車后,會自動返回到Linux命令提示符下.

在這里要注意的小問題就是Linux本地的時間要和DC的時間差問題,我們都知道,在DC上的策略中,時間差允許的范圍是5分鐘,所以,在運行上述的命令前,最好先同步下Linux和DC的時間:

ntpdate 192.168.20.148

c.這一步是最主要的步驟了，就是修改/etc/samba/smb.conf配置文件.samba的主配置文件選項很多,在加上各版本中默認的選項都有所差異,在這里我就不列舉典型的smb.conf文件了,我的smb.conf文件帖出來順便介紹一下smb.conf文件中參數(shù)的意思！

其中MyShare指定共享名，一般就是【網(wǎng)上鄰居】里面可以看見的文件夾的名字。
comment 是對修改共享的備注。
path 指定共享的路徑，可以配合Samba變量使用。例如可以指定path=/data/%m，這樣如果一臺計算機的NetBIOS名字是grind，它訪問MyShare共享時就是進入/data/grind目錄，而對于NETBIOS名是glass的計算機，則進入/data/glass目錄。
allow hosts和deny hosts 和前面的全局設置的方法一樣。
writeable 指定目錄默認是否可寫，也可以用readonly = no來設置可寫。
user 設置所有可能使用該共享資源的用戶，也可以用@group代表group組的所有成員，不同的項目之間用空格或逗號隔開。
valid users 能夠使用該共享資源的用戶和組。
invalid users 不能夠使用該共享資源的用戶和組。
read list 只能讀取該共享資源的用戶和組。
write list 能讀取和寫入該共享資源的用戶和組。
admin list 能管理該共享資源（包括讀寫和權限賦予等）的用戶和組。
public 該共享資源是否能被用戶賬號訪問，這個開關有時候也叫guest ok，所以有的配置文件中出現(xiàn)guest ok = yes，其實和public = yes是一樣的。
hide dot files 是否像UNIX那樣隱藏以“.”號開頭的文件。
create mode 新建立的文件的屬性，一般是0755。
directory mode 新建立的目錄的屬性，一般是0755。
sync always 對該共享資源進行寫操作后是否進行同步操作。
short preserve case 忽略文件名大小寫。
preserve case 保持大小寫。
case sensitive 是否區(qū)分大小寫，一般選no，不然可能引起錯誤。
mangle case 混合大小寫。
default case 默認的文件名是全部大寫還是小寫。
force user 強制建立文件的屬主。如果有一個目錄，讓guest可以寫，那么guest就可以刪除，如果使用force user= grind強制建立文件的屬主是grind，同時限制create mask = 0755，這樣guest就不能刪除該目錄了。
wide links 是否允許共享外符號連接，比如共享資源里有個連接指向非共享資源里的文件或目錄，如果設置wide links = no將使該連接無法使用。
max connections = n 設置同時連接數(shù)是n。
delete readonly 能否刪除共享資源里面已經(jīng)被定義為只讀的文件。

[global]
   workgroup = MYAD//這個是你域名MYAD.COM點前面的東東。                    //需要加入的域的netbios名,注意是域的netbios名,要大寫
   netbios name = centos                //本機器的netbios名,有的版本沒有這一項會沒有這個,
                                            要手動添加
   server string = Samba Server            //對該服務器的描述
   printcap name = /etc/printcap
   load printers = yes
   cups options = raw

log file = /var/log/samba/%m.log
max log size = 50

security = ads //ads驗證方式必須有realm項

   realm = MYAD.COM                //增加這一行,注意這里是域名.
   password server = ms-aaaa.myad.com           //這里是DC的FQDN,也可以寫ip,但是有時候會出
                                                問題,建議寫FQDN

encrypt passwords = yes //加密在網(wǎng)絡上傳輸?shù)挠脩裘艽a
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

dns proxy = no

   winbind separator = /                  //用戶的域名和用戶名之間的間隔,用什么隨你心情
   idmap uid = 1000000-2000000
   idmap gid = 1000000-2000000            //域用戶映射成Linux本地用戶時所有的uid和gid范圍.
   template home = /home/%D/%U            //與home文件夾中定義的作用相同.兩者定義一個就行
   template shell = /bin/bash             //用戶登陸后所使用的shell
   winbind use default domain = yes       //用戶登陸使用默認的域
   winbind enum users = yes
   winbind enum groups = yes              //有人說是自動創(chuàng)建用 getent passwd[group]看到的
                                            用戶和組的信息.具體有什么用,我也說不清楚

[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   create mode = 0777
   directory mode = 0777   //創(chuàng)建的文件和目錄的默認權限
   path = /home/%D/%U     //用戶主目錄的相關設置

[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
   guest ok = no
   writable = no
   printable = yes

以上紅色的部分都是要修改的,其余的都保持默認就行.好了，修改完成后,保存退出.然后用下面的命令測試 smb.conf是否有誤:

# testparm 測試一下

在這里注意兩個地方就行,一個是 Loaded services file OK. //說明你的配置文件沒有錯

還有一個就是:Server role:ROLE_DOMAIN_MEMBER //說明你的服務器已經(jīng)是域的
"準"成員了.

好了,做了這些測試后,先把smb和winbind兩個服務開啟成隨系統(tǒng)自動啟動:

#chkconfig smb on //也可以用ntsysv來開機啟動

#chkconfig winbind on//也可以用ntsysv來開機啟動。

然后重啟samba服務:

# service smb restart //寫到這里,我想起一點好玩的事來, 在fedora 9中(其他版本我不知道),

smb和nmb服務是分開的,也就是說你用這條命令只能重啟動smb,不能重
啟nmb,你還要打service nmb restart才行.....

然后就可以加入域了:

net ads join -W MYAD.COM -S dc -U administrator

然后會要求你輸如管理員的password,輸入后,正常情況下會提示加入域成功.

在這里我插一句,有時候用net ads join 會不好使,這時候就試試net rpc join 這種方式.

到這里,我們就已經(jīng)把samba服務器加入到域里了,這時,在DC上,computers這個OU里就應該可以看到你的samba服務器了.

這時,我們重啟winbind服務:

service winbind restart

重啟完成后，我們就可以用下面的幾條命令來進行測試了:

wbinfo -t //測試該samba服務器與域的信任關系

wbinfo -u // 查看域用戶的映射信息

wbinfo -g

有時候會出現(xiàn)這樣的錯誤信息,解決辦法如下:

先停掉winbind和smb服務:

service smb stop

service winbind stop

然后刪除下面兩個目錄里的.tdb文件: /etc/samba 和 /var/cache/samba

據(jù)我理解,這些應該是在加入域過程中，產(chǎn)生的一些緩存
文件,但是有時候這些緩存會造成一些錯誤信息,就象我們剛才看到的那樣，刪除后,重啟服務,讓他重新
生成就行了.

fedora10 會稍有不同,目錄我記不太清楚了，好像是 /var/lib/samba 你可以用命令搜索下:

find / -name *.tdb

刪除完成后,重新啟動 smb服務.

service smb start

在次運行加入域的命令:

net ads join -W MYAD.COM -S dc -U administrator

重啟動winbind服務.

service winbind start

然后在用命令查看信息就OK了.

到這里呢,我們的samba服務器就成功的加入到域里了，但是呢,卻還不能實現(xiàn)域賬戶在Linux終端上的登陸.想要實現(xiàn)這個目的,其實也很簡單，只需要修改下面幾個文件就可以了:

/etc/nsswitch.conf //修改這個文件,影響Linux查找用戶,組,和他們密碼的行為

修改項如下:

    passwd:    winbind files
    shadow:    winbind files
    group:     winbind files

/etc/pam.d/sysconfig-auth //讓pam認證支持以winbind為源進行用戶的查找和匹對.

修改項如下:

auth sufficient /lib/security/pam_winbind.so //增加這一行

    auth        required      /lib/security/$ISA/pam_env.so
    auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
    auth        required      /lib/security/$ISA/pam_deny.so
    auth        sufficient      /lib/security/pam_winbind.so

account sufficient /lib/security/pam_winbind.so //增加這一行,注意這兩行的位置

    account     required      /lib/security/$ISA/pam_unix.so
    account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
    account     required      /lib/security/$ISA/pam_permit.so

    password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
    password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
    password    required      /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so

修改完畢后,根據(jù)上面smb.conf文件的配置,我們就可以實現(xiàn)用戶的登陸了，不過還有一點要說明,就是在用戶登陸前，必須手動創(chuàng)建他們的登陸主目錄,并且賦予他們完全控制的權限.

比如,我想讓administrator用戶登陸Linux,實現(xiàn)步驟如下:

cd /home

mkdir MYAD

cd MYAD

mkdir administrator

chown administrator administrator //在home目錄下創(chuàng)建YANCHUN域目錄,并在該目錄下創(chuàng)建
要登陸用戶administrator的目錄，更改目錄權限.

這樣在終端上就可以實現(xiàn)域用戶賬戶的登陸了.

還有就是用戶登陸Linux平臺后,權限控制的問題.默認情況下,這種方式登陸到Linux平臺的用戶只有對自己主目錄有完全控制權限,其余的文件均為只讀.

可以通過下面的方法來實現(xiàn)對域用戶權限的控制:

1.更改/etc/nsswitch.conf文件.

     passwd:    winbind files
     shadow:    files winbind
     group:     winbind files

細心的朋友也許已經(jīng)注意到了這個文件與上面那個文件的不同.就是shadow的查找順序.為什么這么改,呵呵，先賣個關子,接著往下看.

2.然后先把winbind 服務停掉.

建立與要登陸Linux的域用戶賬戶的同名Linux賬戶.

3.重啟winbind服務.用域賬戶登陸.這時會發(fā)現(xiàn),登陸后域用戶的登陸點不是在/home/%D/%U下了,而是在/home/%U下.為什么呢?

這是因為nsswitch.conf文件影響的結果.就是域用戶在輸入自己的登陸名時,Linux系統(tǒng)并不認為是域用戶,而認為該用戶是一個本地用戶,而shadow項的設置,是先去DC進行密碼的查詢.于是就造成了一種假象,就是域用戶用自己的用戶名和密碼登陸了Linux.所以其登陸目錄為/home/%U.

既然,Linux認為該登陸用戶是一個本地用戶,那么我們就可以很方便的對他賦予權限了.

但是,如果要登陸Linux的用戶非常多,那么作為管理員,我們的工作量會非常大,這也是我下面要提出的用LDAP想法的原因.

我在這個試驗過程中所碰到的問題如下:

1. net rpc join 和 net ads join 命令在作用上有什么區(qū)別.

2. 有時候配置文件沒有錯,但是在加入域時會提示錯誤信息,如NT_STATUS開頭的一些錯誤信息,具體是什么原因,還望有高手指教.我在網(wǎng)上搜索相關錯誤提示的帖子,也沒有能找到真正解決問題的方法.

    NT_STATUS_ACCESS_DENIED (0xc0000022)
    NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
    NT_STATUS_INVALID_COMPUTER_NAME

3.有時候會出現(xiàn)unable to find a suitable server .提示找不到合適的服務器,不知道問題出在什么地方.

4.另外,我還有一種想法,能不能在Linux上搭建LDAP服務,然后用他去同步Windows的活動目錄數(shù)據(jù)庫,然后激活samba的LDAP數(shù)據(jù)庫認證功能,實現(xiàn)域用戶賬戶訪問samba服務器的認證問題.有做過相關試驗的朋友請給小弟一點指點.感激不盡.

5.至于自動為登陸Linux平臺的域用戶創(chuàng)建宿主目錄,和自動加入某一Linux本地組,等我熟了SHELL編程在說吧,呵呵~

6.有時候會出現(xiàn)類似于Winbind服務啟動起來后，顯示該服務已經(jīng)假死的現(xiàn)象，這時候可以通過查找/var/log/messages或者/etc/log/samba/winbind.log查找相關的錯誤信息。我碰到過的一個問題是：Winbind Dead but subsys lock的東東，解決辦法是關閉SELinux就可以了，針對這個問題在相關的日志錯誤信息中顯示的是：open secrets.tdb error。據(jù)我個人理解，應該是SELinux的開啟造成了Winbind無法訪問/etc/samba/secrets.tdb文件的緣故，只要disable SELinx 重啟計算機后，應該就可以正常的啟動和停止Winbind服務了。

磁盤配額
在/etc/fstab中加入
LABEL=/       /       ext3       defaults,usrquota,grpquota     1   1

啟動磁盤配額（重啟后仍有效）
touch   /aquota.group
touch   /aquota.user
chmod   644   /aquota.group
chmod   644   /aquota.user
/sbin/quotacheck   –avugm
/sbin/quotaon   –avug
設定test用戶的配額為   20M(1000用戶共用20000M)
setquota   -u   test   20000   20000   0   0   /



repquota   –a

本站僅提供存儲服務，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權內(nèi)容，請點擊舉報。

免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版