Debian samba支持域用户登录

其实蛮简单的.红帽中文站也说了,只要改 /etc/krb5.conf 和/etc/samba/smb.conf这两个文件,然后用net ads join加就行了.
 
本文是一篇设置samba服务器加入win2003活动目录的工作笔记 。 
 

1.samba服务器软件需求 
 krb5-workstation-1.2.7-19 
 pam_krb5-1.70-1 
 krb5-devel-1.2.7-19 
 krb5-libs-1.2.7-19 
 samba-3.0.5-2 
 
2.配置kerberos(关键) 
 下面配置参数让 Kerberos 进程知道处理活动目录服务器，对 /etc/krb5.conf 做适当的修改，修改时需要注意的是 Kerberos 是大小写敏感的。 
 这是我的krb5.conf配置文件： 
 [logging] 
 default = FILE:/var/log/krb5libs.log 
 kdc = FILE:/var/log/krb5kdc.log 
 admin_server = FILE:/var/log/kadmind.log 
 
[libdefaults] 
 ticket_lifetime = 24000 
 default_realm = MYDOMAIN.COM 
 dns_lookup_realm = false 
 dns_lookup_kdc = false 
 
[realms] 
 MYDOMAIN.COM = { 
 kdc = 192.168.2.248  //为AD服务器的ip地址
 # admin_server = kerberos.example.com:749 
 default_domain = MYDOMAIN.COM  //需要加入的域名
 } 
 
[domain_realm] 
 .mydomain.com = MYDOMAIN.COM 
 mydomain.com = MYDOMAIN.COM 
 
[kdc] 
 profile = /var/kerberos/krb5kdc/kdc.conf 
 
[appdefaults] 
 pam = { 
 debug = false 
 ticket_lifetime = 36000 
 renew_lifetime = 36000 
 forwardable = true 
 krb4_convert = false 
 } 
 

3.连接2003服务器 
 
kinit 用户名@MYDOMAIN.COM 
 
Kerberos 的 kinit 命令将测试服务器间的通信，后面的域名MYDOMAIN.COM 是你的活动目录的域名，必须大写，否则会收到错误信息： 
 kinit(v5): Cannot find KDC for requested realm while getting initial credentials. 
 
如果通信正常，你会提示输入口令，口令正确的话，就返回 bash 提示符，如果错误则报告： 
 kinit(v5): Preauthentication failed while getting initial credentials. 
 
4.配置samba 
 修改/etc/samba/smb.conf如下几行 
 
workgroup = MYDOMAIN 
 netbios name = filesrv 
 server string = Filesrv 
 
realm = MYDOMAIN.COM // 活动目录服务器域名 
 security = ADS // 采用活动目录认证方式 
 encrypt passwords = yes // 采用加密的口令 
 
重新启动samba服务 
 service smb restart 
 
配置完 Samba 和 Kerberos 后，需要在 Windows 2000 活动目录下建立一个计算机帐号，如果需要在 Linux 上来完成的话，运行： 
 /usr/kerberos/bin/kinit filesrv@MYDOMAIN.COM 
 输入口令后，建立帐号： 
 
将服务器加入活动目录： 
 /usr/local/samba/bin/net ads join 
 
去 Windows 2003 服务器检查上面的工作：打开活动目录用户和计算机，查看其中的条目，如果成功的话，就可以看到你的 Linux 服务器。 (下面有图)
 
然后在 Linux 机器上，你就可以采用 smbclient 命令连接到 Windows 的共享文件夹，而不需要输入口令（因为采用了Kerberos ）。 
 /usr/local/samba/bin/smbclient //w2k/c$ -k 
 
这个命令可能会产生一些错误信息，但是不要紧它能工作的。
 
配置好以后执行：
 #kinit administrator@STAR-SHANGHAI
 #net rpc join -U administrator%password
 注意如果出现 clock skew的问题，说明你的samba和AD的时间不对，需要调整samba服务器的时间。