2010年12月8日 星期三

AD+LDAP

NAS Server  (客戶端整合檔案伺服器)



測試環境主機
           
主機OS: CenOS 5.5
            分割區配置: 20G 的配置如下
sda1 = 100MB        /boot
sdb2 = 20300MB    mainvg
                lv_root        /    8000(8G)
                lv_swap    /swap    992(1G)   SWAP
                lv_tmp        /tmp    2976(3G)
                lv_var        /var    4992(5G)
                lv_home    /home    2976 (3G)
帳號/密碼:
root / student
       
        網卡設定:
Linux 主機
eth0
IP: 192.168.213.30
                Submask: 255.255.255.0
                gateway:192.168.213.2
                DNS: 192.168.213.40 168.95.1.1

            Windows Server 2008 AD 主機
eth0
IP: 192.168.213.40
                Submask: 255.255.255.0
                gateway:192.168.213.2
                DNS: 192.168.213.40 168.95.1.1

            FreeNAS 主機
eth0
IP: 192.168.213.60
                Submask: 255.255.255.0
                gateway:192.168.213.2
                DNS: 192.168.213.40 168.95.1.1

               
安裝需求:



A. SAMBA Server : 對內服務
B. AD帳號整合 : 對內


此伺服器架設的主要需求在於考量到企業內部個人電腦大多使用 Windows OS 平台,以Windows server 系列現行的AD目錄服務作為帳號密碼的管理可以達到集中、迅速、方便的目的
但是又採用 Linux 開放、較有效率的各種伺服器服務的前提下,有必要進行 Linux 與 Windows 兩種異質平台的整合,以求管理上的同步與一致,才不會造成管理工作的困難。


安裝過程:



把大致的順序, 與過程中需要注意的地方特別註明
1. 安裝 Windows Server 2008 R2 版
    設定各項電腦名稱與網路組態(此一部分就不盡詳述)
    本例設定參數如下
    
    電腦名稱:win-srv1
   成員隸屬:維持工作群組選項&設定值(其後網域設定完成後再行加入)

    網路組態
   ip        192.168.213.30
   mask    255.255.255.0
   gateway    192.168.1.1

   DNS        192.168.1.30 (預先指定本機ip,其後會在本機上架設 DNS 服務)
           192.168.1.1

2. 安裝網域服務(Active Directory Domain Service) 以及相關必要服務套件

   2-1 環境需求
        1. 一台 Windows Server 2008 R2 獨立伺服器
        2. 伺服器必須安裝 TCP/IP 協定,並使用固定 IP
        3. 網路中必須要有一台 DNS 伺服器

    2-2 AD的安裝步驟
    1. 開啟【系統管理工具/伺服器管理員】
    2. 按【角色/新增角色】
    3.
    4. 勾選【Active Directory 網域服務】
    5. 新增所需相關的功能
6.
7.
    8.
9. 啟動 Active Directory 網域服務安裝精靈(dcpromo.exe)
    10.  勾選【使用進階模式安裝】
    11.
    12. 點選【在新樹系內建立新網域】
    13. 輸入完整網域名稱
    14. 輸入 NetBIOS 網域名稱
    15. 選擇【樹系功能等級】建議使用 Windows Server 2003
    16. 選擇【網域功能等級】建議使用 Windows Server 2003
    17. 選擇【DNS伺服器】
    18.
    19.
    20. 符合密碼複雜度及長度原則,必須含小寫字母、大寫字母、數字、符號,四者其三長度預設7碼以上
    21.
    22.
    23.




各設定檔資訊:



1. SAMBA Server 設定加入 Windows 2008 網域
    1-1 修改 smb.conf 設定檔 </etc/samba/smb.conf>
[global]
  hosts allow = 192.168.213.

   netbios name = winbind
  workgroup = winad

  password server = WIN-SRV1.WINAD.A233.SNPY.ORG
  realm = WINAD.A233.SNPY.ORG
  security = ads
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  winbind separator = +
  template homedir = /home/%U
  template shell = /bin/bash
  winbind use default domain = true
   encrypt passwords = yes

1-2 修改 hosts 設定檔 </etc/hosts>

 192.168.213.30 win-srv1.winad.a233.snpy.org winad.a233.snpy.org

1-3 修改 kerberos 相關設定檔</etc/krb5.conf>

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm =WINAD.A233.SNPY.ORG
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
WINAD.A233.SNPY.ORG = {
 kdc = WIN-SRV1.WINAD.A233.SNPY.ORG:88
 admin_server = WIN-SRV1.WINAD.A233.SNPY.ORG:749
 default_domain = WINAD.A233.SNPY.ORG
}

[domain_realm]
.winad.a233.snpy.org = WINAD.A233.SNPY.ORG
winad.a233.snpy.org = WINAD.A233.SNPY.ORG

[appdefaults]
pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
}



[kdcdefaults]
v4_mode = nopreauth
kdc_tcp_ports = 88

[realms]
WINAD.A233.SNPY.ORG = {
 #master_key_type = des3-hmac-sha1
 acl_file = /var/kerberos/krb5kdc/kadm5.acl
 dict_file = /usr/share/dict/words
 admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
 supported_enctypes = des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3
}

1-4 設定 PAM </etc/pam.d/system-auth>
# 加入
auth           sufficient    pam_winbind.so
account      sufficient    pam_winbind.so
password   sufficient    pam_winbind.so
session       sufficient    pam_winbind.so


1-5 測試啟動與加入AD網域

測試連線
[root@winbind ~]# kinit administrator@WINAD.A233.SNPY.ORG
Password for administrator@WINAD.EDU.TW:
[root@winbind ~]#

    啟動 samba
    [root@winbind ~]# service smb start

    加入網域
    [root@winbind ~]# net rpc join -S WIN-SRV1.WINAD.EDU.TW -U administrator
Password:
Joined domain WINAD.
[root@winbind ~]#

啟動 winbind
[root@winbind ~]# service winbind start
   
   
2. 使用 FreeNAS 加入 AD 網域

    2-1 進入 FreeNAS  點選 選取權限→Active Directory
   


    2-2 輸入 AD server 各項設定 並勾選啟動 完成後儲存
   

2-3 點選服務 認證方式拉選 Active Directory

    2-4 確定認證方式,輸入 NetBIOS 名稱 工作群組( AD網域名稱最左邊)

   




驗證:


檢驗AD帳號

[root@winbind ~]# getent passwd
......
......
becky:x:3800:3800::/home/becky:/bin/bash
WINAD+administrator:*:10000:10000:Administrator:/home/2008/WINAD/administrator:/bin/bash
WINAD+guest:*:10001:10001:Guest:/home/2008/WINAD/guest:/bin/bash
WINAD+krbtgt:*:10002:10000:krbtgt:/home/2008/WINAD/krbtgt:/bin/bash
WINAD+ki:*:10003:10000:林書城:/home/2008/WINAD/ki:/bin/bash
WINAD+centos55:*:10004:10000:linuxuser:/home/2008/WINAD/centos55:/bin/bash

[root@winbind ~]#

驗證 FreeNAS 加入AD網域 及 samba 分享

1. 檢查是否加入AD網域

2. 測試帳號驗證


3. 驗證完成 目錄即可分享

沒有留言:

張貼留言