ldap samba实现windows域管理

来源： 作者： 时间：2007-03-01 Tag： 点击：

phpldapadmin需要使用这个程序来生成samba的加密密码。debian没有这个包，需要自己编译，编译之前可能需要安装make，gcc和libc-dev包。

#apt-get install make gcc libc-dev
#wget http://www.nomis52.net/data/mkntpwd.tar.gz
#tar -zxf mkntpwd.tar.gz
#cd mkntpwd
#make
#cp mkntpwd /usr/local/bin

修改/usr/share/phpldapadmin/templates/template_config.php文件。

查找

// uncomment to set the base dn of posix groups
// default is set to the base dn of the server
//$base_posix_groups=”ou=People,dc=example,dc=com”;

$samba3_domains[] =
array( ‘name’ => ‘My Samba domain Name’,
’sid’ => ‘S-1-5-21-4147564533-719371898-3834029857′ );

// The base dn of samba group. (CUSTOMIZE)
//$samba_base_groups = “ou=Groups,ou=samba,dc=example,dc=org”;

修改为

// uncomment to set the base dn of posix groups
// default is set to the base dn of the server
$base_posix_groups=”ou=groups,dc=nomis52,dc=net”;

$samba3_domains[] =
array( ‘name’ => ‘TEST-DOMAIN’,
’sid’ => ‘S-1-5-21-3248317815-3353503310-553435137′ );

// The base dn of samba group. (CUSTOMIZE)
$samba_base_groups = “ou=groups,dc=abc,dc=com”

6 安装libnss-ldap

用来做linux验证。使得LDAP用户就像普通linux帐号一样。

#apt-get install libnss-ldap

libnss-ldap设置
1) 默认。
2) 查找基准。输入dc=abc,dc=com。
3) 选3。
4) 选否。
5) 选是。
6) 确定。

修改/etc/nsswitch.conf。

passwd: compat ldap
group: compat ldap
shadow: compat ldap

这样验证密码的时候会先搜索/etc/passwd，然后才是ldap。

使用getent命令查看一下计算机上面的用户组，在最后会看到ldap的。

#getent group
…..
Domain Admins:x:512:Administrator
Domain Users:x:513:
Domain Guests:x:514:
Domain Computers:x:515:
Administrators:x:544:
Print Operators:x:550:
Backup Operators:x:551:
Replicators:x:552:

7 安装libpam-ldap

#apt-get install libpam-ldap

libpam-ldap设置
1) 使root成为数据库的管理员？选是。
2) 选否。
3) 输入admin的dn，cm=admin,dc=abc,dc=com。
4) 输入root使用的密码，留空使用原来的root密码。
5) 选md5。

修改 /etc/pam-ldap.conf。

pam_filter !(uidNumber=0)

设置不允许root通过ldap登陆linux。

修改下面文件使得pam使用ldap。

/etc/pam.d/common-account

# 注释掉这行
#account required pam_unix.so

# 添加下面两行
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass

/etc/pam.d/common-auth

# 注释掉这行
#auth required pam_unix.so nullok_secure

# 添加下面两行
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password

# 注释掉这行
#password required pam_unix.so nullok obscure min=4 max=8 md5

# 添加下面两行
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass

重启ssh和samba。

安装nscd。

#apt-get install nscd

8 添加用户

smbldap-useradd : to add an user account (by default a posixAccount. Using ‘-a’ option for a sambaSAMAccount, ‘-w’ option for a machine sambaAccount),
smbldap-userdel : to delete an existing user account
smbldap-usermod : to modify an user account.
smbldap-userinfo : to allow users to modify some informations themselves

修改/etc/samba/smb.conf。

guest account = nobody
add user script = /usr/sbin/smbldap-useradd -m “%u”
#delete user script = /usr/sbin/smbldap-userdel “%u”
add machine script = /usr/sbin/smbldap-useradd -w “%u”
add group script = /usr/sbin/smbldap-groupadd -p “%g”
#delete group script = /usr/sbin/smbldap-groupdel “%g”
add user to group script = /usr/sbin/smbldap-groupmod -m “%u” “%g”
delete user from group script = /usr/sbin/smbldap-groupmod -x “%u” “%g”
set primary group script = /usr/sbin/smbldap-usermod -g “%g” “%u”
ldap passwd sync = yes

添加一个测试用户。

#smbldap-useradd -a -m testuser
#smbldap-passwd testuser
#smbldap-passwd Administrator

重启一下电脑，然后使用下面的命令。

#net rpc -U Administrator rights grant testuser SeMachineAccountPrivilege

然后使用这个用户登陆一下域看看。

$ smbcontrol smbd reload-config

and grant the necessary rights to Administrator:

$ net -U Administrator rpc rights list
SeMachineAccountPrivilege Add machines to domain
SePrintOperatorPrivilege Manage printers
SeAddUsersPrivilege Add users and groups to the domain
SeRemoteShutdownPrivilege Force shutdown from a remote system
SeDiskOperatorPrivilege Manage disk shares

$ net -U Administrator rpc rights list Administrator

$ net -U Administrator rpc rights grant Administrator SeMachineAccountPrivilege
Successfully granted rights.

9 登陆脚本

创建网络共享
# mkdir -p /data/samba/netlogon
# chgrp “Domain Admins” /data/samba/netlogon

修改/etc/samba/smb.conf

# put this in the main section
logon script = logon.bat

# share for the logon scripts
[netlogon]
comment = Network logon service
path = /data/samba/netlogon
write list = “@Domain Admins”
guest ok = Yes

下载KiXtart，解压到/data/samba/netlogon。

#cd /data/samba/netlogon
#wget “http://www.adminscripteditor.com/downloads.asp?act=v&id=39″
#apt-get install unzip
#unzip KiX2010_451.zip
#cp ./KiX2010.451/{KIX32.EXE,KX32.dll} ./

创建logon.bat。

\\debian\netlogon\kix32 \\debian\netlogon\logon.kix /f

原文:http://blog.wdicc.com/wordpress/2006/05/14/158/

[收藏] [推荐] [评论] [打印] [关闭]

顶一下

上一篇：Linux WEB 服务器更改IP
下一篇：squid Cache拦截

◇eG Citrix 监控器	◇Ethernet的帧格式和结构
◇华为(Quidway AR18-22-24)路由器配置实例	◇简单利用路由黑洞解决DDOS流量攻击
◇我的linux试验题目	◇如何在HMC上激活网络时间协议NTP
◇Resin泛解析 - 三级域名最优应用方案	◇Resin多域名绑定 + 泛解析
◇resin 负载均衡	◇linksys wap54g 设置注意事项
◇acegi RememberMe&退出&匿名登陆	◇vnd命令~
◇LINUX网卡绑定	◇TCP包首部
◇IP包首部格式	◇指纹锁也不靠谱电脑“破解”六大事件!
◇linux配置网关	◇使用 SCTP 优化网络
◇IPv4/IPv6过渡技术和方案分析	◇用三个源码包libnet、libnids、libpcap轻松搭建Li
◇Extensible Messaging and Presence Protocol (XM	◇组建CISCO多层交换网络入门
◇CISCO多层交换机的初始配置和排错	◇实施和配置VLAN
◇理解和配置802.1Q/802.1S和802.1W生成树协议	◇理解和配置cisco特定的生成树协议特性和STP排错
◇配置第二层和第三层的特性	◇理解和配置VLAN间的路由选择
◇理解和配置多层交换	◇理解和配置cisco多层交换网络中的服务质量

91Linux!