巧用winbind服务来使window200xPDC为你做认证 (原..
时间:2004-12-15 来源:leirenyuan
但既然已经在域中有了所有用户的认证信息,为什么不好好的利用它呢:)。SAMBA3中的winbind服务就为我们提供了这样的一个途径。首先你把这linux台服务器加到win200x域中,成为域中的成员服务器,然后用winbind服务把认证信息发给PDC,由PDC来做用户的认证。只要适当的设置winbind服务、PAM,你就能通过PDC来为你linux或BSD服务器上的ftp、samba、ssh服务来做认证,是不是很不错呢?
下面是我在redhat7.3上用winbind+PAM实现对sshd、samba服务PDC认证的过程:
1、使用的相关软件:
samba-3.0.7 pam-0.75-32 (这些软件的安装过程我就不讲了,参考CU上的相关文件吧:)
2、实现方法:
1) 在samba安装完成后,考贝libnss_winbind.so库到/lib目录下
cp ../samba/source/nsswitch/libnss_winbind.so /lib
ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2
2) vi /etc/nsswitch.conf 做如下修改,使winbind成为passwd及group的认证信息源
passwd: files winbind
shadow: files
group: files winbind
3)用ldconfig命令来使winbind使用libnss_winbind.so库,这样就不用重启机器了,如果不行,就重启一下机器 。
/sbin/ldconfig -v | grep winbind
4)vi smb.conf ,在[global]设置中加入下面几行
# separate domain and username with '/', like DOMAIN+username
winbind separator = /
# use uids from 10000 to 20000 for domain users
idmap uid = 10000-20000
# use gids from 10000 to 20000 for domain groups
idmap gid = 10000-20000
# allow enumeration of winbind users and groups
winbind enum users = yes
winbind enum groups = yes
# give winbind users a real shell (only needed if they have telnet access)
template homedir = /home/%D/%U
template shell = /bin/bash
winbind separator是域名与用户名和组名之间的分隔符,我设成’/’,
idmap uid 和 idmap gid是设置winbind把win200x域用户、组map成本地用户、组所使用的ID号范围,如果你的用户很多,可以加大这两个值之间的差。Template homedir是用户登录后的主目录,我设置成/home/域名/用户名。Template shell是用户登录后的shell,如果你想用PDC给你的sshd做认证,就可以加上这个,给用户一个shell,不错吧。
5)用samba3的net join命令把这台机器加入到windows200x域中
/usr/local/samba/bin/net rpc join -S PDC -U Administrator
然后输入域管理员密码,administrator是域管理员帐号。PDC是你的域名,可以用NETBIOS名。
6)启动winbindd服务
/usr/local/samba/sbin/winbindd
7)用wbinfo 命令查看你用winbindd服务连接PDC抓到的域内的用户和组的信息。
引用: |
[root@LogBack wy]# wbinfo -u WY/Administrator WY/Guest WY/krbtgt WY/wuying WY/wy |
其中’/’前的是域名,我这是WY,’/’后的是域用户名。
引用: |
[root@LogBack wy]# wbinfo -g BUILTIN/System Operators BUILTIN/Replicators BUILTIN/Guests BUILTIN/Power Users BUILTIN/Print Operators BUILTIN/Administrators BUILTIN/Account Operators BUILTIN/Backup Operators BUILTIN/Users WY/Domain Admins WY/Domain Users WY/Domain Guests WY/Domain Computers WY/Domain Controllers WY/Cert Publishers WY/Schema Admins WY/Enterprise Admins WY/Group Policy Creator Owners WY/DnsUpdateProxy |
其中’/’前的是域名,我这是WY,’/’后的是域组名。
用getnet passwd 和getnet group你可以看到本地服务器及域服务器上所有的用户及组的信息。
到这儿,我们的工作已经完成一大半了。Winbindd服务已经可以正常工作了:)
8)到samba-3.0.7的源码目录source下,编译pam_winbind.so认证模块,CP到/lib/security下:
make nsswitch/pam_winbind.so
cp ../samba/source/nsswitch/pam_winbind.so /lib/security
9)下面是设置PAM了,在设置前请先备份你的/etc/pam.d目录。如果是设sshd等关建登入服务的PAM,改错了,可能ssh就登不进去,所以要小心操作。
下面是我改过的/etc/pam.d/sshd的配置文件:
引用: |
[root@LogBack wy]# cat /etc/pam.d/sshd #%PAM-1.0 auth sufficient /lib/security/pam_winbind.so auth required /lib/security/pam_stack.so service=system-auth auth required /lib/security/pam_nologin.so account sufficient /lib/security/pam_winbind.so account required /lib/security/pam_stack.so service=system-auth password required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_stack.so service=system-auth session required /lib/security/pam_limits.so session required /lib/security/pam_mkhomedir.so session optional /lib/security/pam_console.so |
其中两个含有pam_winbind.so的行是这加进去的,用来做winbind的认证。
含有pam_mkhomedir.so的行也是我加进去的,用来在域用户登录时自动给他建立主目录和登录脚本,不然你一登录就会在发现自己在根目录下。注意,主目录的路径是你在smb.conf文件中指定的Template shell变量,我这是/home/WY/用户名。/home/WY目录要手动建,不然是登不进去的。我把这个目录的权限设成 1777,好处是大家都能写,但只有属主可删,就象/tmp目录一样。
再其它机器上用ssh 连看试一下:
引用: |
[wy@wy1 RPMS]$ ssh wy/[email protected] wy/[email protected]'s password: Last login: Sat Oct 30 19:57:47 2004 from 172.16.130.36 [WY/wuying@LogBack wuying]$ id uid=10003(WY/wuying) gid=10009(WY/Domain Users) groups=10009(WY/Domain Users) [WY/wuying@LogBack wuying]$ |
OK,我们成功了。WY/wuying是“域名/用户名”的行式,这个域用户被map成为本地的uid号为1009的用户。
下面是我的/etc/pam.d/samba的配置文件:
引用: |
[root@LogBack wy]# cat /etc/pam.d/samba #%PAM-1.0 auth required pam_stack.so service=system-auth account required pam_stack.so service=system-auth |
然后vi smb.conf文件,在最后加上
引用: |
[ADMshare] comment = admin dir path = /home/WY/administrator valid users = "WY+Domain Admins" public = no writable = yes printable = no create mask = 0775 directory mask = 0775 |
这样就只有WY域中的Domain Admins组的成员才可以往ADMshare共享中写东西,是不是好管理多了呢。如果域用户的密码更改,我们也不用去每台linux服务器上改密码了,用winbind去win200xPDC上做认证,他怎么改都行,方便多了吧。
我这里只进了winbind和PAM的配置方法,如果大家对其中的一些概念还不明白的话,可以参考一下SAMBA3源码包samba-3.0.7.tar.gz解开后docs目录中的pdf文档。我讲的部分都在smaba-HOWTO-collection.pdf文档的第6及第20章中,相关的概念讲解得也不错,如果哪位高手有时间的话,把这些文档翻成中文,那真是CU朋友之福了。晚上23:15了,回家喽。
percen:
我在RH9上配置成功.楼主发的资料有点错误,就是在配置SMB的时候设定分隔符为"/",即:winbind separator = / ,在设置分享资料夹的存取权限时就应该为"domain/users",而不是“domain+users”。只要定义的前后一致就可以了。如果winbind separator = + ,则分享资料夹的存取权限时就应该为"domain+users"