Назад | Перейти на главную страницу

как присоединить centos 7 к домену samba?

В моем офисе мы используем домен samba + ldap. Я уже присоединился к некоторым машинам с Windows 7, но теперь мне нужно присоединить CentOS 7 к этому домену. Как я могу это сделать?

Ниже приведены шаги, которые я уже сделал:

  1. установить nss-pam-ldap.x86_64
  2. настроить smb.conf в / etc / samba /
  3. настроить все файлы в /etc/pam.d/, которые вызывают pam_unix.so для вызова и pam_ldap.so
  4. добавить ldap в строки paswd, shadow и group в nsswich.conf
  5. настроить nslcd.conf

Когда я пытаюсь присоединиться к:

net join -U administrator

Я получаю это:

не может присоединиться к автономной машине

Когда я бегу 

journalcrl -r

Я получаю ошибку pam_ldap:

pam_ldap: ошибка при открытии соединения с nslcd: нет такого файла или каталога.

Криско. Сначала вам нужно установить пакеты для интеграции sssd:

yum install \
realmd \
sssd \
sssd-krb5 \
sssd-krb5-common \
sssd-common \
sssd-common-pac \
sssd-ad \
sssd-proxy \
sssd-tools \
python-sssdconfig \
samba \
samba-common \
authconfig \
authconfig-gtk

Затем создайте учетную запись компьютера в контейнере AD, к которому ваш пользователь ([UID домена]) имеет полный доступ.

Добавьте машину в домен: realm --verbose join [FQ Domain name] -U [Domain UID]

Отрегулируйте /etc/sssd/sssd.conf

[sssd]
domains = <FQ Domain name lowercase>
config_file_version = 2
services = nss, pam

[domain/bdp.pt]
ad_domain = <FQ Domain name lowercase>
krb5_realm = <FQ Domain name uppercase>
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = <Comma separated list of AD groups allowed to login in the form <FQDomainLowercase>\<GroupName>>
simple_allow_users = <Same for users>

Возможно, вам придется настроить эти 2 раздела /etc/krb5.conf

[realms]
 <FQDomainUpperCase> = {
 }

[domain_realm]
 <FQDomainLowerCase> = <FQDomainUpperCase>
 .<FQDomainLowerCase> = <FQDomainUpperCase>

Тогда это больше не будет автономной машиной, и вы сможете аутентифицировать пользователей домена. Надеюсь, поможет.

Убедитесь, что вы можете пинговать между хостами, попробуйте оба ping server и ping server.domain.local. Если вы ничего не получили, попробуйте указать свой KDC в конфигурации kerberos и в smb.conf.

Пример krb5.conf файл:

/etc/krb5.conf
...
[realms]
         DOMAINNAME.COM = {
                 kdc = din-dc1.domainname.com
                 kdc = den-dc1.domainname.com
                 master_kdc = din-dc1.domainname.com
                 admin_server = din-dc1.domainname.com
         }

[domain_realm]
         .domainname.com = DOMAINNAME.COM
...

/etc/samba/smb.conf
...
[global]
         server string = Dinamo File Server

         workgroup = DOMAINNAME
         realm = DOMAINNAME.COM
         security = ADS
         password server = *
         #password server = din-dc1.domainname.com
         #password server = din-dc1.domainname.com, den-dc1.domainname.com

Использовать kinit чтобы убедиться, что kerberos работает!