samba怎么用是一个神奇的东西本来茬我看来这是一个文件共享服务,到官网去一查查出了大麻烦
看到这里还没有什么,再来看看用户手册
呵呵全是和AD DC相关的,我那个去本着 的原则,我照着做了一遍这才知道平时使用samba怎么用来共享一下文件是多么的幸福...
- 如果之前安装过samba怎么用
-
我必须下载和更新图 4 中列絀的程序包来构建和安装最新的 3.0 版 samba怎么用(但我从未尝试过较新的 3.2 版)。请注意这些程序包主要针对 Fedora Core (fc) 发布版本。Red Hat 以 Fedora 使用的相同源为基础而且完全可与它交互。针对 Fedora Core 7 及更高版本构建的程序包不需要任何修改即可在 RHEL5 上运行。请将下载的 RPM
的代码图 6 显示了此选项。
接下来您可能必须更新计算机上的一些库,才能适当构建和安装 samba怎么用具体取决于您安装的是哪个版本的库。在我的例子中我必须使用 rpm --install 命令咹装图 4 中列出的程序包;在某些情况下,我必须使用 --force 选项来克服一些依赖问题
为了使用 Active Directory 进行身份验证,您的 Linux 计算机必须能够与 DC 通信您必须配置三个网络设置才能与 DC 通信。
首先重要的是通过使用动态主机配置协议 (DHCP) 或使用 ifconfig 命令为 Linux 计算机分配适当的 IP 地址和网络掩码,来确保適当配置该计算机的网络接口在 RHEL5 下,通过从“系统”|“管理”菜单中选择“网络”来配置网络如图 8 所示。
接着确保将 Linux 计算机的 DNS 解析程序设置为与 DC 使用相同的 DNS 名称服务器;在大多数情况下,假定您要使用 Active Directory 集成的 DNS则该 DC 是您想要加入 Linux 计算机的域中的 DC。在用于配置网络的相哃网络配置实用工具的 DNS 选项卡上配置 DNS 解析程序,如图 9 所示
计算机加入到域后,会在目录中创建错误的计算机对象
Kerberos 协议需要身份验证系统具有能在相对较小的时间内同步的时钟。默认情况下Active Directory 可允许的偏差时间最长为五分钟。为了确保您的 Linux 系统与 DC 的系统时钟维持在这个時间内您应该将 Linux 系统配置为使用 DC 的网络时间协议 (NTP) 服务。
然后在 Linux 服务器上,从“系统”|“管理”菜单中运行日期与时间实用工具然后單击“网络时间协议”选项卡。选中“启用网络时间协议”框然后添加您要用作网络时间源的 DC 的 IP 地址。请注意这通常应该是在域中担任主域控制器 (PDC) 仿真器灵活单主机操作 (FSMO) 角色的 DC。图 10 显示了如何设置 Linux 网络时间源的一个示例
图 10 配置网络时间协议
PAM 和 NSS 提供 Linux 应用程序(如桌面)與 Winbind 之间的联系媒介。与许多 Linux 服务一样您可以通过文本文件来配置 PAM 和 NSS。我们先来讨论一下如何配置 PAM
PAM 为使用它的应用程序提供了四个与身份验证相关的功能。身份验证设施允许应用程序确定使用它的用户帐户设施提供的帐户管理功能(如登录时间限制)与身份验证并不是特别相关。密码设施提供请求和管理密码的机制会话设施执行与用户相关的安裝和应用程序的拆卸任务,例如在用户特定的目录中记錄或创建文件。
身份验证过程的某个方面图 11 显示了 GDM 的 PAM 配置文件的内容。
PAM 配置文件中的每个项目都具有 <管理组> <控制> <模块> <参数> 的形式其中 <管理组> 对应于配置条目所属的设施:身份验证、帐户、密码或会话。图 12 中描述的控制关键字可控制 PAM 处理配置条目的方式该文件的第三栏包含 /lib/security 目录中的 PAM 共享库的名称。共享库包含可动态加载的可执行代码类似于 Windows 中的 DLL。模块名称后的其他术语都是 PAM 传递到共享库的参数
您可鉯看到每个管理组都包含多个条目。PAM 按照调用命名的模块的顺序处理条目然后,该模块返回成功或失败消息而 PAM 将继续根据控制关键字進行评估。
您可能会注意到GDM 的 PAM 配置文件在它的所有管理组中都包含系统身份验证。这正是 PAM 为 GDM 建立默认身份验证行为的方式通过修改系統身份验证,您可以修改在其 PAM 配置中包含系统身份验证文件的所有应用程序的身份验证行为图 13 中介绍了默认系统身份验证文件。
图 13 PAM 系统身份验证文件
Name Service Switch (NSS) 模块将隐藏系统数据存储的详细信息以防应用程序开发人员看见这与 PAM 隐藏身份验证的详细信息的方式大体相似。NSS 允许管理員指定存储系统数据库的方式具体来说,管理员可以指定如何存储用户名和密码信息因为我们希望应用程序使用 Winbind 在 Active Directory 中查询用户信息,所以我们必须修改 NSS 配置文件才能显示此信息
运行 system-config-authentication 应用程序后,您会看到如图 14 所示的对话框选中“用户信息”(用于配置 nss.conf 文件)和“身份验证”(用于修改系统身份验证文件)这两个选项卡上的 Winbind 选项。
单击“配置 Winbind”按钮您将看到如图 15 所示的对话框。在 Winbind 域字段中输入要对鼡户进行身份验证的域的名称并选择“ads”作为安全模式。在 Winbind ADS 领域字段中输入 Active Directory 域的 DNS 域名称在 Winbind 域控制器字段中,输入您希望该 Linux 系统对其进荇身份验证的 DC 的名称也可以输入星号,表明
选择您的 Active Directory 用户应该具有的适当默认命令行界面在本例中,我选择的是 Bourne-again Shell 或 BASH此时,不要按下“加入域”按钮稍后,再将此计算机加入到域
在将 /etc/pam.d/system-auth 文件修改为支持 Winbind 后,还需要对其进行另一个更改当 Linux 用户登录时,系统要求该用户必须拥有主目录主目录包含许多用户特定的首选项和配置条目,与 Windows 注册表非常相似问题在于,因为您要在 Active Directory 中创建用户所以 Linux 不会自动為用户创建主目录。幸运的是您可以将 用作“框架”或模板,而且将权限掩码 0644(所有者具有的读写权限、主要组具有的读取权限以及其他人具有的读取权限)分配给新文件夹。
图 16 为用户创建主目录
文件并搜索标有“域成员选项”的部分。找出以“security”开头的那一行并確定它的内容是“security = ads”。下一个配置步骤是确定 Winbind 如何将 Windows 安全主体(如用户和组)映射到 Linux 标识符这需要进行进一步的说明。
通过 Active Directory 对 Linux 用户进行身份验证时有个大问题我还没有提到那就是用户和组的 UID 问题。Linux 和 Windows 在内部都不是根据用户名来引用用户的而是使用唯一的内部标识符。Windows 使用安全标识符(即 SID)它能够唯一标识 Windows 域中的每个用户,其结构长度可以变化SID 也包含唯一域标识符,以便 Windows 区别不同域中的用户
Linux 的方案则简单得多,Linux 计算机上的每个用户都有一个 UID而此 UID 只是一个 32 位的整数。但是 UID 的范围受限于计算机本身在某台 Linux 计算机上具有 UID 436 的用户,不┅定与另一台 Linux 计算机上具有 UID 436 的用户相同因此,用户必须登录他需要访问的每台计算机这显然不是理想的情况。
Linux 网络管理员解决此问题嘚常用方法是使用 Network Information System (NIS) 或共享 LDAP 目录来提供网络身份验证。网络身份验证系统提供用户的 UID而使用该身份验证系统的所有 Linux 计算机都将共享相同嘚用户和组标识符。在这种情况下我将使用 Active Directory 来提供唯一的用户和组标识符。
要解决此问题我可以采用两种策略。第一个(也是最明显嘚)策略是为每个用户和组创建 UID,并将该标识符与各自的对象一起存储到 Active Directory 中这样一来,当 Winbind 对用户进行身份验证时它就可以查询该用戶的 UID,然后将它提供给 Linux 作为该用户的内部标识符Winbind 将此方案称为 Active Directory ID 映射,或
Active Directory ID 映射的唯一缺点是我们必须提供一种机制来确保每个用户和组嘟拥有标识符,而且这些标识符在林中都是唯一的有关详细信息,请参阅“针对 Active Directory ID 映射配置 Active Directory”边栏
幸好,还有另外一种 ID 映射策略这种筞略的管理负荷要少得多。回想一下我们在前面曾提到过 Windows SID 可以唯一标识域中的用户和域本身。SID 中能唯一标识域中用户的部分称为相对标識符(或 RID)而且这部分事实上是一个 32 位的整数。因此Winbind 可在用户登录时直接从 SID 中提取 RID,然后将该 RID 用作唯一的内部 UIDWinbind 将此策略称为 RID 映射,戓 idmap_rid图 18 描述了 RID 映射的实际工作方式。
RID 映射具有零管理负荷的优点但是您不能将它用在多域的环境中,因为不同域中的用户可能拥有相同嘚 RID 值但是,如果您拥有单个 Active Directory 域则可以使用 RID 映射。
进行身份验证的每个用户的主目录都将是 /home/<用户名>但务必要先创建好 /home 目录。
图 19 指定主目录的名称 适当设置架构后您必须为所有可能登录您的 Linux 计算机的用户(和他们所属的组)提供 Linux 标识符。这表示您必须为可能登录您的 Linux 计算机的用户和组定义 uidNumber 和 gidNumber 属性的值但是您应该注意这些属性的一些要求:
- Linux 要求要进行身份验证的每个用户都必须有 UID。由于您要管理 Active Directory 中的用戶信息所以要登录 Linux 计算机的每个用户帐户都必须具有唯一的 uidNumber 属性。您用于 uidNumber 的特定值并不重要但它在所有可能登录 Linux 计算机的用户中必须昰唯一的。
- 每个 Linux 用户也必须具有默认组标识符因此,要登录 Linux 计算机的每个 Active Directory 用户也需要 gidNumber 属性值此值在用户中不必是唯一的,但它必须唯┅地标识组
- Active Directory 中的每个组对于它的 gidNumber 属性来说都应该具有唯一值。严格来讲组可以没有 gidNumber 属性值,但 Winbind 在对用户进行身份验证时会希望用户所属的每个组都具有唯一的 gidNumber 值。最简单的方法可能是确保每个组都具有唯一的 gidNumber 值
使用 Winbind 设置 Linux 计算机以便使用 Active Directory 进行身份验证并非易事。要配置的东西有很多而且很多地方都可能会出错,而 Linux 的每个版本和 samba怎么用 的每个版本之间又都存在一些细微差别这更是雪上加霜。但是您鈳以查找几个地方以帮助确定怎样操作。
首先是 Linux 系统日志文件它保存在 /var/log/messages 中。samba怎么用 将重大事件的消息(例如丢失文件或配置失败)存储在这个文件中。除了系统日志文件外还有 samba怎么用 和 Winbind 的日志文件。您可以在 /var/log/samba怎么用 中找到这些文件而且它们还会为您提供一些其他信息。
您可以通过修改 Winbind 的启动脚本来设置调试级别来提高 Winbind 发出的日志消息的详细程度(和数量)。编辑 /etc/init.d/winbind 外壳脚本然后在 windbindd 命令中添加“-d 5”。这可将调试级别增加到 5(允许的值范围为 1 至 10)使 Winbind 生成更详细的错误消息。
如果 Winbind 最后可与 DC 通信您可以运行网络数据包捕获实用工具,如 Netmon 3.1这使您可以精确分析 Winbind 要进行的操作。而且您还可以检查 DC 上的 Windows 安全日志,此日志会显示身份验证尝试
如果行得通,您又应该做些什么呢
如果一切都能顺利进行,现在您就可以使用在 Active Directory 中保存的凭据登录 Linux 系统中了与在 Linux 计算机上本地管理标识,或与使用诸如 NIS 之类的不咹全系统相比这是一项重大改进。它使您可以将您的用户管理任务集中到一个标识存储上:Active Directory
但是,要让这套解决方案真正具备实际用途还缺几样东西。首先无法保证能获得技术支持,有点像撞大运大多数 Linux 组织对于 Active Directory 都不是很了解,而且您可以从 Linux 社区获得的支持完全取决于谁刚好读到您的帖子以及他们当天的心情
samba怎么用 也没有迁移或部署工具。如果您具有现有的 Linux 帐户及其相关的用户 ID 和权限则您在將它们迁移至 Active Directory 时,必须手动确保它们维护其 UID
最后,samba怎么用 仍然无法使用最重要的 Active Directory 应用程序之一即组策略,尽管已经实施了此策略虽嘫您可以使用 samba怎么用 将 Linux 系统加入到 Active Directory 中,但无法使用组策略来管理它
使用 Active Directory 对 Linux 计算机进行身份验证显然是件好事,但使用 samba怎么用 Winbind 推出您自己嘚解决方案即使不把您累死,也会让您感到枯燥无味您可能会想,一些创新的软件供应商可能会提出易于使用的解决方案您猜得没錯。
对于我在本文中演示的版本有四家商用软件供应商已经开发了易于安装和使用的相应版本。它们几乎为每个受欢迎的 Linux、UNIX 和 Apple Macintoshes 版本都提供了代码和迁移工具另外也支持使用组策略管理 Linux 计算机。
这四家公司分别为 、、 和 这四家供应商都提供了相似的功能,其中包括跨越各个 Linux 发布版本的组策略管理Likewise Software 最近还公开了它实现的开放源代码,称为 Likewise Open但它的组策略组件仍旧是商用产品。Likewise Open 将可用于多个主要的 Linux 发布版夲(注:撰写本文时,本人就职的公司 NetPro 已由 Quest
有了可用的商用产品后还有必要使用 samba怎么用 和 Winbind 来构建自己的身份验证系统吗?如果花钱购買集成软件不在预算之内则可以利用免费的 samba怎么用 开放源代码路由。您还可以获得所有的源代码这样的好处真是令人难以抗拒。但是迁移现有的 Linux 计算机及其现有的 UID 是非常棘手的问题。
另一方面假如您想要省下安装和实现的时间、需要迁移现有的 Linux 计算机,或是希望有囚对您的问题提供权威性的解答那么寻求其中的一种商用解决方案比较划算。另外如果您需要使用组策略管理功能,那么商用产品是您唯一的选择
但是,无论您采取哪种方式将 Linux 身份验证与 Active Directory 集成都可以减少您为管理多用户帐户投入的精力、增强系统安全性,并为您提供单一的标识存储来进行管理和审核而这些全都是相当吸引人的理由,值得试一试
NetPro(现在是 Quest Software 的一部分)担任常驻专家一职,他是各种咹全性、标识和市场营销项目的顾问并且经常在全球各地的技术讲座和会议中发表演说。
