配置 Linux 网络
为了使用 Active Directory 进行身份验证,您的 Linux 计算机必须能够与 DC 通信。您必须配置三个网络设置才能与 DC 通信。
首先,重要的是通过使用动态主机配置协议 (DHCP) 或使用 ifconfig 命令为 Linux 计算机分配适当的 IP 地址和网络掩码,来确保适当配置该计算机的网络接口。在 RHEL5 下,通过从“系统”|“管理”菜单中选择“网络”来配置网络,如图 8 所示。
接着,确保将 Linux 计算机的 DNS 解析程序设置为与 DC 使用相同的 DNS 名称服务器;在大多数情况下,假定您要使用 Active Directory 集成的 DNS,则该 DC 是您想要加入 Linux 计算机的域中的 DC。在用于配置网络的相同网络配置实用工具的 DNS 选项卡上,配置 DNS 解析程序,如图 9 所示。
最后,完成上述步骤后,您必须设置 Linux 计算机的主机名称以反映它在域中的名称。虽然您可以使用网络配置应用程序设置主机名称,但这一方法不一定始终适用。
但是,可直接编辑 /etc/hosts 文件,并在具有 <IP 地址> <FQDN> <主机名称> 形式的 localhost.localdomain 条目下添加条目。(例如,“10.7.5.2 rhel5.linuxauth.local linuxauth”)。请注意,如果不这么做,当您将 Linux 计算机加入到域后,会在目录中创建错误的计算机对象。
配置 Linux 时间同步
Kerberos 协议需要身份验证系统具有能在相对较小的时间内同步的时钟。默认情况下,Active Directory 可允许的偏差时间最长为五分钟。为了确保您的 Linux 系统与 DC 的系统时钟维持在这个时间内,您应该将 Linux 系统配置为使用 DC 的网络时间协议 (NTP) 服务。
然后,在 Linux 服务器上,从“系统”|“管理”菜单中运行日期与时间实用工具,然后单击“网络时间协议”选项卡。选中“启用网络时间协议”框,然后添加您要用作网络时间源的 DC 的 IP 地址。请注意,这通常应该是在域中担任主域控制器 (PDC) 仿真器灵活单主机操作 (FSMO) 角色的 DC。图 10 显示了如何设置 Linux 网络时间源的一个示例。
