設置samba服務器加入win2003活動目錄

轉自：http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=471287

 

1.samba服務器軟件需求 
krb5-workstation-1.2.7-19 
pam_krb5-1.70-1 
krb5-devel-1.2.7-19 
krb5-libs-1.2.7-19 
samba-3.0.5-2 

2.配置kerberos(關鍵) 
下面配置參數讓 Kerberos 進程知道處理活動目錄服務器，對 /etc/krb5.conf 作適當的修改，修改時須要注意的是 Kerberos 是大小寫敏感的。 
這是個人krb5.conf配置文件： 
[logging] 
default = FILE:/var/log/krb5libs.log 
kdc = FILE:/var/log/krb5kdc.log 
admin_server = FILE:/var/log/kadmind.log 

[libdefaults] 
ticket_lifetime = 24000 
default_realm = MYDOMAIN.COM 
dns_lookup_realm = false 
dns_lookup_kdc = false 

[realms] 
MYDOMAIN.COM = { 
kdc = 192.168.2.248 
# admin_server = kerberos.example.com:749 
default_domain = MYDOMAIN.COM 
} 

[domain_realm] 
.mydomain.com = MYDOMAIN.COM 
mydomain.com = MYDOMAIN.COM 

[kdc] 
profile = /var/kerberos/krb5kdc/kdc.conf 

[appdefaults] 
pam = { 
debug = false 
ticket_lifetime = 36000 
renew_lifetime = 36000 
forwardable = true 
krb4_convert = false 
} 


3.鏈接2003服務器 

kinit filesrv@MYDOMAIN.COM 

Kerberos 的 kinit 命令將測試服務器間的通訊，後面的域名MYDOMAIN.COM 是你的活動目錄的域名，必須大寫，不然會收到錯誤信息： 
kinit(v5): Cannot find KDC for requested realm while getting initial credentials. 

若是通訊正常，你會提示輸入口令，口令正確的話，就返回 bash 提示符，若是錯誤則報告： 
kinit(v5): Preauthentication failed while getting initial credentials. 

4.配置samba 
修改/etc/samba/smb.conf以下幾行 

workgroup = MYDOMAIN 
netbios name = filesrv 
server string = Filesrv 

realm = MYDOMAIN.COM // 活動目錄服務器域名 
security = ADS // 採用活動目錄認證方式 
encrypt passwords = yes // 採用加密的口令 

從新啓動samba服務 
service smb restart 

配置完 Samba 和 Kerberos 後，須要在 Windows 2000 活動目錄下創建一個計算機賬號，若是須要在 Linux 上來完成的話，運行： 
/usr/kerberos/bin/kinit filesrv@MYDOMAIN.COM 
輸入口令後，創建賬號： 

將服務器加入活動目錄： 
/usr/local/samba/bin/net ads join 

去 Windows 2003 服務器檢查上面的工做：打開活動目錄用戶和計算機，查看其中的條目，若是成功的話，就能夠看到你的 Linux 服務器。 

而後在 Linux 機器上，你就能夠採用 smbclient 命令鏈接到 Windows 的共享文件夾，而不須要輸入口令（由於採用了Kerberos ）。 
/usr/local/samba/bin/smbclient //w2k/c$ -k 

這個命令可能會產生一些錯誤信息，可是沒關係它能工做的。