
Eric.Hu留言 | 贡献
Eric.Hu留言 | 贡献
第1行: 第1行:
This Howto describes how to add a Ubuntu box in a Active Directory domain and to authenticate the users with AD.
{{Copyedit translation|from=https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto}}

这是一个关于怎样在一个Active Directory domain中增加一个ubuntu box并使用AD进行用户验证的介绍.

{{Copyedit translation|from=https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto}}<br>{{From|https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto}}<br>{{Translator|xiaotian0127 jackphone}}<br>{{Verifier|tlhl28}}<br>{{Languages|UbuntuHelp:ActiveDirectoryWinbindHowto}}<br>
{{Translator|xiaotian0127 jackphone}}
{{Verifier|tlhl28 dbzhang800}}

这是一个关于怎样在一个Active Directory domain中增加一个ubuntu box并使用AD进行用户验证的介绍.
=== 软件环境 ===
=== 软件环境 ===

第39行: 第43行:
| AD
| AD
| Active Directory(活动目录)
| 活动目录(Active Directory)
| DC
| DC
| Domain Controller(域控制器)
| 域控制器(Domain Controller)
| lab.example.com
| lab.example.com
第57行: 第61行:
| linuxwork
| linuxwork
| computername of the Ubuntu workstation(Ubuntu工作站的计算机名)
| Ubuntu工作站的计算机名
| linuxwork.lab.example.com
| linuxwork.lab.example.com
| FQDN of the Ubuntu workstation(Ubuntu工作站的完整域名)
| Ubuntu工作站的完整域名
| ntp.example.com
| ntp.example.com
第66行: 第70行:

=== 确认连接畅通<br> ===
=== 确认连接畅通 ===
The first step to configuring an Ubuntu client for participation in an Active Directory (AD) network is to confirm network connectivity and name resolution for the Active Directory domain controller. An easy way to verify both of these is to ping the
<br> fully-qualified domain name (FQDN) of the AD DC on your network.
<br>配置活动目录(AD)所在网络的Ubuntu客户端的第一步是确保网络的畅通和ActiveDirectory的域控制器的名字解析无误. 可以用一个简单的方法来验证这两点,那就是ping你的网络上的活动目录的域控制器的完整域名(FQDN)
<pre>root@linuxwork:~# ping win2k3.lab.example.com
PING win2k3.lab.example.com ( 56(84) bytes of data.
64 bytes from win2k3.lab.example.com ( icmp_seq=1 ttl=128 time=0.176ms</pre>
The output of the ping response shows successful resolution of the FQDN to an IP Address, and the confirmation of connectivity between your Ubuntu workstation and the AD DC.
ping的输出显示FQDN已经被成功的解析为一个IP地址了,并且您ubuntu工作站和AD DC之间的连接已经畅通.

=== 时间设置<br> ===
配置活动目录(AD)所在网络的Ubuntu客户端的第一步是确保网络的畅通和ActiveDirectory的域控制器的名字解析无误. 可以用一个简单的方法来验证这两点,那就是ping你的网络上的活动目录的域控制器的完整域名(FQDN)。
root@linuxwork:~# ping win2k3.lab.example.com
PING win2k3.lab.example.com ( 56(84) bytes of data.
64 bytes from win2k3.lab.example.com ( icmp_seq=1 ttl=128 time=0.176ms

Time is essential for Kerberos, which is used for authentication in Active Directory networks. The easiest way to ensure correct time syncronization is to use a NTP-Server. Every Active Directory Domain Controller is also an NTP server, so for best results, use the FQDN of an AD DC in Ubuntu's default ''ntpdate'' application, which syncs time at startup or on demand.
ping的输出显示FQDN已经被成功的解析为一个IP地址了,并且您ubuntu工作站和AD DC之间的连接已经畅通。

=== 时间设置 ===

时间对于kerberos是必不可少的,他用于ActiveDirectory网络中的认证. 最简单的方法是使用一个NTP服务器来确保时间的正确同步 每一个活动目录域控制器同时也是一个NTP服务器,为了达到最佳效果,在Ubuntu默认的ntpdate应用中使用AD DC的完整域名,他将在开机时或者按指定的要求来同步时间。
时间对于kerberos是必不可少的,他用于ActiveDirectory网络中的认证. 最简单的方法是使用一个NTP服务器来确保时间的正确同步 每一个活动目录域控制器同时也是一个NTP服务器,为了达到最佳效果,在Ubuntu默认的ntpdate应用中使用AD DC的完整域名,他将在开机时或者按指定的要求来同步时间。

file: <code><nowiki>/etc/default/ntpdate</nowiki></code>
file: <code><nowiki>/etc/default/ntpdate</nowiki></code>
<pre># servers to check
# servers to check
# additional options for ntpdate
# additional options for ntpdate
</pre> <pre>root@linuxwork:~# /etc/init.d/ntpdate restart

&lt;p&gt;&lt;p&gt;&lt;ul&gt;&lt;li&gt; Synchronizing clock to win2k3.lab.example.com... [ ok ]
root@linuxwork:~# /etc/init.d/ntpdate restart
&lt;p&gt;&lt;br /&gt;
Synchronizing clock to win2k3.lab.example.com... [ ok ]
&lt;/p&gt;&lt;p&gt;&lt;br /&gt;
&lt;/p&gt;&lt;p&gt;&lt;br /&gt;

=== 正式完整域名(FQDN) ===
=== FQDN ===
A valid FQDN is essential for Kerberos and Active Directory. Active Directory is heavily dependent upon DNS, and it is likely that your Active Directory Domain Controllers are also running the Microsoft DNS server package. Here, we will edit the local hosts file on your Ubuntu workstation to make sure that your FQDN is resolvable.
FQDN(Fully Qualified Domain Name,正式完整域名)

对于Kerberos和活动目录来说,一个有效的FQDN是必不可少的 活动目录非常依赖于DNS,因此很可能您的ActiveDirectory域控制器也在运行着Microsoft的DNS服务器组件. 在这里,我们将在您的ubuntu工作站上编辑本地hosts文件,以确保您的域名是可以解析的.
对于Kerberos和活动目录来说,一个有效的FQDN是必不可少的 活动目录非常依赖于DNS,因此很可能您的ActiveDirectory域控制器也在运行着Microsoft的DNS服务器组件. 在这里,我们将在您的ubuntu工作站上编辑本地hosts文件,以确保您的域名是可以解析的.

file: <code><nowiki>/etc/hosts</nowiki></code>
file: <code><nowiki>/etc/hosts</nowiki></code>
<pre> linuxwork.lab.example.com localhost linuxwork
You can test your configurating by PINGING your own FQDN. The output should be similar to the PING output above, from the Network Connectivity test (of course, the FQDN will be your own, and the IP address will be linuxwork.lab.example.com localhost linuxwork
您也可以通过ping您自己的完整域名来测试您的配置 输出的结果应该类似于上面的ping输出的结果,在网络中连线测试(当然, 这个域名将是您自己,而IP地址,将将是127.0.0.1).
您也可以通过ping您自己的完整域名来测试您的配置 输出的结果应该类似于上面的ping输出的结果,在网络中连线测试(当然, 这个域名将是您自己,而IP地址,将将是127.0.0.1).

=== &nbsp; 建立Kerberos ===
=== 建立Kerberos ===
The first step in setting up Kerberos is to install the appropriate client software. This process assumes that you have opened up all the Breezy main and security sources in your ''sources.list'' as well as the Universe repository.

设置Kerberos的第一步是要安装适当的客户端软件. 这个过程假设你已经在你的sources.list以及Univers repository中打开了所有breezy的main和security源.
设置Kerberos的第一步是要安装适当的客户端软件. 这个过程假设你已经在你的sources.list以及Univers repository中打开了所有breezy的main和security源.

==== 需要的软件<br> ====
==== 需要的软件 ====
需要的软件To properly install the necessary Kerberos packages, you should use the following ''apt-get'' command to install the software:

<pre>root@linuxwork:~# apt-get install krb5-user libpam-krb5
root@linuxwork:~# apt-get install krb5-user libpam-krb5
https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png For ''krb5-user'' you will need the ''universe'' repository.

对于''krb5-user'' 您将需要''universe'' repository.
对于''krb5-user'' 您将需要''universe'' repository.

https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png If you do not intend to acquire a Kerberos ticket at login, you need not install the ''libpam-krb5'' package.

如果你不打算在登录时要求Kerberos ticket,你不用安装libpam-krb5软件包.
如果你不打算在登录时要求Kerberos ticket,你不用安装libpam-krb5软件包.
This command will also fetch the additional packages ''krb5-config'', ''libkrb53'', and ''libkadm55''.

The ''krb5-config'' installation will present a prompt:

<pre>What are the Kerberos servers for your realm?
What are the Kerberos servers for your realm?
What is the administrative server for your Kerberos realm?
What is the administrative server for your Kerberos realm?
These prompts should be answered according to the Active Directory Domain Controller in charge of your domain. The ''krb5-config'' process customize the <code><nowiki>/etc/krb5.conf</nowiki></code> file for your installation. In most cases, this config file will work successfully, but if you want a more streamlined config file (e.g., without all the Kerberos 4 cruft), you can use the following as a template:

这些提示应该根据您负责的域的ActiveDirectory的域控制器来回答. 该krb5-config程序将定制<code><nowiki>/etc/krb5.conf</nowiki></code>文件以供安装使用. 在大多数情况下, 这个配置文件将正常工作, 但是,如果你想要一个更精简的配置文件 (例如, without all the Kerberos 4 cruft), 您可以使用下列模板:
这些提示应该根据您负责的域的ActiveDirectory的域控制器来回答. 该krb5-config程序将定制<code><nowiki>/etc/krb5.conf</nowiki></code>文件以供安装使用. 在大多数情况下, 这个配置文件将正常工作, 但是,如果你想要一个更精简的配置文件 (例如, without all the Kerberos 4 cruft), 您可以使用下列模板:

file: <code><nowiki>/etc/krb5.conf</nowiki></code>
file: <code><nowiki>/etc/krb5.conf</nowiki></code>
default = FILE:/var/log/krb5.log
default = FILE:/var/log/krb5.log
第183行: 第148行:
lab.example.com = LAB.EXAMPLE.COM
lab.example.com = LAB.EXAMPLE.COM
Notice the two "DNS" directive are commented out. You can elect to use DNS to find Kerberos realm servers, or you can elect to use the <code><nowiki>krb5.conf</nowiki></code> file to define Kerberos realm servers. If you elect to use DNS, uncomment the two lines above and instead comment or remove the entire directive for your realm under the <code><nowiki>[realms]</nowiki></code> heading.

注意这两个"dns"指令已经被注释掉. 你可以选择使用dns寻找kerberos realm服务器 或者你可以选择使用<code><nowiki>krb5.conf</nowiki></code>文件来定义kerberos realm的服务器. 如果你选择使用DNS, 取消上面的两行注释而代之以在<code><nowiki>[realms]</nowiki></code>标题下注释或移除完整的指令.
注意这两个"dns"指令已经被注释掉. 你可以选择使用dns寻找kerberos realm服务器 或者你可以选择使用<code><nowiki>krb5.conf</nowiki></code>文件来定义kerberos realm的服务器. 如果你选择使用DNS, 取消上面的两行注释而代之以在<code><nowiki>[realms]</nowiki></code>标题下注释或移除完整的指令.

Request a Ticket-Granting Ticket (TGT) by issuing the <code><nowiki>kinit</nowiki></code> command, as shown (you can use any valid domain account; it doesn't have to be Administrator. You can also omit the domain name from the command if the "default_realm" directive is properly applied in the <code><nowiki>/etc/krb5.conf</nowiki></code> file.

通过发出<code><nowiki>kinit</nowiki></code>命令来获得Ticket-Granting Ticket (TGT),如上所示(你可以使用任何有效域帐户; 它不必是管理员. 你也可以在命令中省略域名,如果"default_realm"指令在 <code><nowiki>/etc/krb5.conf</nowiki></code> 文件中被妥善应用的话.
通过发出<code><nowiki>kinit</nowiki></code>命令来获得Ticket-Granting Ticket (TGT),如上所示(你可以使用任何有效域帐户; 它不必是管理员. 你也可以在命令中省略域名,如果"default_realm"指令在 <code><nowiki>/etc/krb5.conf</nowiki></code> 文件中被妥善应用的话.
<pre>root@linuxwork:~# kinit [email protected]
root@linuxwork:~# kinit [email protected]
Password for [email protected]: ****
Password for [email protected]: ****
Check if ticket request was valid using the <code><nowiki>klist</nowiki></code> command.

使用 <code><nowiki>klist</nowiki></code> 命令检查一下ticket是否有效.
使用 <code><nowiki>klist</nowiki></code> 命令检查一下ticket是否有效.
第207行: 第165行:
renew until 01/21/05 20:28:51
renew until 01/21/05 20:28:51
At this point, your Kerberos installation and configuration is operating correctly. You can release your test ticket by issuing the <code><nowiki>kdestroy</nowiki></code> command.

此时,你的Kerberos已经被正确的安装和配置,你可以使用 <code><nowiki>kdestroy</nowiki></code> 命令来释放你的测试ticket.
此时,你的Kerberos已经被正确的安装和配置,你可以使用 <code><nowiki>kdestroy</nowiki></code> 命令来释放你的测试ticket.

=== Join AD domain ===
=== 加入AD域===

==== 需要的软件 ====
==== 需要的软件<br> ====
&nbsp;https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png For Windows 2003 Server SP1 Winbind version 3.0.14a is necessary. In Hoary is only version 3.0.10, but you can find 3.0.14a in Breezy.

需要的软件 Windows 2003 Server SP1 Winbind version 3.0.14a是必需的。在Hoary中仅有 3.0.10版,但是在Breezy中你能找到3.0.14a。
需要的软件 Windows 2003 Server SP1 Winbind version 3.0.14a是必需的。在Hoary中仅有 3.0.10版,但是在Breezy中你能找到3.0.14a。
<pre>root@linuxwork:~# apt-get install winbind samba [smbfs smbclient]
<pre>root@linuxwork:~# apt-get install winbind samba [smbfs smbclient]
https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png The package ''smbfs'' is optional, but includes useful client utilities, including the '''smbmount''' command. Also useful is the ''smbclient'' package, which includes an FTP-like client for SMB shares.

软件包"smbfs"是可选的,但是他包含了许多有用的客户端工具,包括"smbmount"命令. "smbclient"软件包也是有用的,其中包括为SMB共享建立一个类ftp客户端.
软件包"smbfs"是可选的,但是他包含了许多有用的客户端工具,包括"smbmount"命令. "smbclient"软件包也是有用的,其中包括为SMB共享建立一个类ftp客户端.

==== Join ====
==== 加入 ====

file: <code><nowiki>/etc/samba/smb.conf</nowiki></code>
file: <code><nowiki>/etc/samba/smb.conf</nowiki></code>
第249行: 第200行:
restrict anonymous = 2
restrict anonymous = 2
https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png The "winbind use default domain" parameter is useful in single-domain enterprises and makes winbind assume that all user authentications should be performed in the domain to which winbind is joined. Omit this parameter if your environment includes multiple domains or if your account domain differs from the resource domain. The "winbind separator" directive is optional, and the default value is the usual backslash "\" Domain and User separator. You can use "+" if you know of a specific reason "\" will not work in your environment.

"winbind use default domain"参数在单域环境中是非常有用的,使winbind采取所有用户应当在域中进行认证来决定哪一个winbind加入. 如果您的环境包含多个域或假如你的帐户域与资源域不同,请省略这个参数. "winbind separator"选项是可选的,默认值是通常的反斜线"\"域和用户分隔符. 你可以使用"+"号,如果在您的环境因为某个特定原因"\"不能用的话
"winbind use default domain"参数在单域环境中是非常有用的,使winbind采取所有用户应当在域中进行认证来决定哪一个winbind加入. 如果您的环境包含多个域或假如你的帐户域与资源域不同,请省略这个参数. "winbind separator"选项是可选的,默认值是通常的反斜线"\"域和用户分隔符. 你可以使用"+"号,如果在您的环境因为某个特定原因"\"不能用的话

Be sure to restart the Samba and Winbind services after changing the <code><nowiki>/etc/samba/smb.conf</nowiki></code> file:
在修改 <code><nowiki>/etc/samba/smb.conf</nowiki></code>文件后,需要重启samba和winbind服务:

一定要重启samba和winbind服务在修改 <code><nowiki>/etc/samba/smb.conf</nowiki></code> 文件後:
root@linuxwork:~# /etc/init.d/winbind stop
<pre>root@linuxwork:~# /etc/init.d/winbind stop
root@linuxwork:~# /etc/init.d/samba restart
root@linuxwork:~# /etc/init.d/samba restart
root@linuxwork:~# /etc/init.d/winbind start
root@linuxwork:~# /etc/init.d/winbind start
Request a valid Kerberos TGT for an account, which is allowed to join a workstation into the AD domain.

一个帐号要求,要增加一个工作站到AD域需要一个帐号,该帐号要求有效的Kerberos TGT.
一个帐号要求,要增加一个工作站到AD域需要一个帐号,该帐号要求有效的Kerberos TGT.
<pre>root@linuxwork:~# net ads join
Using short domain name – LAB
Joined 'linuxwork' to realm 'LAB.EXAMPLE.COM'
https://help.ubuntu.com/community/IconsPage?action=AttachFile&amp;do=get&amp;target=IconNote.png If the Kerberos auth was valid, you should not get asked for a password. However, if you are not working as root and are instead using sudo to perform the necessary tasks, use the command <code><nowiki>sudo net ads join -U username</nowiki></code> and supply your password when prompted. Otherwise, you will be asked to authenticate as [email protected] instead of a valid account name.

如果Kerberos认证是有效的, 你不应当为密码设置问题。但是, 如果你不能以root用户工作,那么你将使用sudo命令来完成必要的任务,使用命令 <code><nowiki>sudo net ads join -U username</nowiki></code> ,当提示要求时输入您的密码 否则, 你会被要求作为[email protected]进行认证 ,以代替一个有效的帐号名.
root@linuxwork:~# net ads join
Using short domain name – LAB
Joined 'linuxwork' to realm 'LAB.EXAMPLE.COM'
如果Kerberos认证是有效的, 你不应当为密码设置问题。但是, 如果你不能以root用户工作,那么你将使用sudo命令来完成必要的任务,使用命令 <code><nowiki>sudo net ads join -U username</nowiki></code> ,当提示要求时输入您的密码。否则, 你会被要求作为[email protected]进行认证 ,以代替一个有效的帐号名.

==== Testing ====
==== 测试====

# wbinfo -u
<pre># wbinfo -u
You should get a list of the users of the domain.


And a list of the groups.
# wbinfo -g
<pre># wbinfo -g
=== 设置认证(Setup Authentication) ===
=== 设置认证(Setup Authentication) ===

第288行: 第231行:

file: <code><nowiki>/etc/nsswitch.conf</nowiki></code>
file: <code><nowiki>/etc/nsswitch.conf</nowiki></code>
<pre>passwd: compat winbind
passwd: compat winbind
group: compat winbind
group: compat winbind
shadow: compat
shadow: compat
==== Testing ====
==== Testing ====
Check Winbind nsswitch module with '''getent'''.
root@linuxwork:~# getent passwd

Check Winbind nsswitch module with '''getent'''.
<pre>root@linuxwork:~# getent passwd
第301行: 第245行:
</pre> <pre>root@linuxwork:~# getent group
root@linuxwork:~# getent group

第313行: 第259行:
&lt;/p&gt;&lt;p&gt;&lt;br /&gt;
&lt;/p&gt;&lt;p&gt;&lt;br /&gt;
&lt;/p&gt;&lt;p&gt;&lt;br /&gt;
==== PAM ====
==== PAM ====
With this config you can access the workstation with local accounts or with domain accounts. On the first login of a domain user a home directory will be created. This PAM configuration assumes that the system will be used primarily with domain accounts. If the opposite is true (i.e., the system will be used primarily with local accounts), the order of ''pam_winbind.so'' and ''pam_unix.so'' should be reversed. When used with local accounts, the configuration shown here will result in a failed authentication to the Windows/Samba DC for each login and sudo use. This can litter the DC's event log. Likewise, if local accounts are checked first, the /var/log/auth.log will be littered with failed logon attempts each time a domain account is accessed.

这个配置下,你可以利用本地用户或域用户访问工作站 域用户第一次登录时会创建一个home目录. 这个PAM配置假定这个系统将主要用于域帐户. 如果相反(即,该系统将主要用于本地用户), 当使用本地用户时,pam_winbind.so和pam_unix.so顺序应当翻转. 这儿显示的配置将导致登录时和使用sudo时Windows/samba DC认证失败. 这样可能丢失DC的事件日志 同样的,如果先检查本地帐户, 每次当一个域帐户被访问,/var/log/auth.log将满布失败的登录尝试.
这个配置下,你可以利用本地用户或域用户访问工作站 域用户第一次登录时会创建一个home目录. 这个PAM配置假定这个系统将主要用于域帐户. 如果相反(即,该系统将主要用于本地用户), 当使用本地用户时,pam_winbind.so和pam_unix.so顺序应当翻转. 这儿显示的配置将导致登录时和使用sudo时Windows/samba DC认证失败. 这样可能丢失DC的事件日志 同样的,如果先检查本地帐户, 每次当一个域帐户被访问,/var/log/auth.log将满布失败的登录尝试.

This PAM configuration does not acquire a Kerberos TGT at login. To acquire a ticket, use ''kinit'' after logging in, and consider using ''kdestroy'' in a logout script.
登录时这个PAM配置不需要Kerberos TGT. 需要ticket,登录后使用kinit,并考虑在登出脚本内使用"kdestroy".
登录时这个PAM配置不需要Kerberos TGT. 需要ticket,登录後使用kinit,并考虑在登出脚本内使用"kdestroy".

file: <code><nowiki>/etc/pam.d/common-account</nowiki></code>
file: <code><nowiki>/etc/pam.d/common-account</nowiki></code>
第355行: 第285行:
@include common-account
@include common-account
=== 最终的配置<br> ===
=== 最终的配置 ===
Each domain needs a directory in /home/.

<pre>root@linuxwork:~# mkdir /home/LAB
root@linuxwork:~# mkdir /home/LAB
=== 最后一件事(One last thing)<br> ===

If you want to be able to use an active directory account, to manage your ubuntu box, you need to add it to the sudoers file. For that, you will need to edit the file /etc/group an add your username to the admin group, and whatever other group you need(plugdev,audio,cdrom just to mention a few). it will be like:
=== 最後一件事 ===

如果你想能够通过管理你的ubuntu box使用一个活动目录帐号,你需要把他加到 sudoers文件中。因此,你需要编辑 /etc/group文件并且加入你的用户名到admin(管理员)组中和任何你需要加入的 用户组(提示一下,比如plugdev,audio,cdrom)。将会像这样:
如果你想能够通过管理你的ubuntu box使用一个活动目录帐号,你需要把他加到 sudoers文件中。因此,你需要编辑 /etc/group文件并且加入你的用户名到admin(管理员)组中和任何你需要加入的 用户组(提示一下,比如plugdev,audio,cdrom)。将会像这样:
第370行: 第296行:
Where olduser, is your current linux user, and ActiveDirectoryUser, is the new administrator. Another way to make a Domain Group, a sudoer in your ubuntu, is to edit the file /etc/sudoers (using the command 'visudo') and add the following line

那里的olduser就是你当前的linux用户而ActiveDirectoryUser就是'%Domain\ admins'新的管理员用户。另一个创建域组(你的ubuntu里的一个sudoer)的方法是编辑文件 /etc/sudoers(使用指令'visudo‘)然后加入一下行:
那里的olduser就是你当前的linux用户而ActiveDirectoryUser就是'%Domain\ admins'新的管理员用户。另一个创建域组(你的ubuntu里的一个sudoer)的方法是编辑文件 /etc/sudoers(使用指令'visudo‘)然後加入一下行:
<pre>%adgroup ALL=(ALL) ALL</pre>
%adgroup ALL=(ALL) ALL
Where adgroup, it's a group from your active directory. take in mind, that spaces in the group name are not allowed, maybe you can use '%Domain\ admins' but i haven't tested.

那里的adgroup就是一个你的活动目录里的组。清注意,组的名字里不能有空格,也许你可以用'%Domain\ admins',但我还没测试过。<br>
那里的adgroup就是一个你的活动目录里的组。清注意,组的名字里不能有空格,也许你可以用'%Domain\ admins',但我还没测试过。

=== 用法 ===
=== 用法 ===
Logon with DOMAIN+USERNAME, unless you included "winbind use default domain" in your ''smb.conf'', in which case you may log in using only USERNAME.

使用“域+用户名”登录,除非你在smb.conf中设定了"winbind use default domain"(winbind使用默认网域名称),那样的话,你可以直接用“用户名”登录。
使用“域+用户名”登录,除非你在smb.conf中设定了"winbind use default domain"(winbind使用默认网域名称),那样的话,你可以直接用“用户名”登录。
第388行: 第310行:
=== 自动Kerberos认证书(Automatic Kerberos Ticket Refresh) ===
=== 自动Kerberos认证书===

To have pam_winbind automatically refresh the kerberos ticket Add the winbind refresh tickets line to smb.conf&nbsp;: file: /etc/samba/smb.conf<br>在smb.conf&nbsp;: file: /etc/samba/smb.conf 里添加winbind自动刷新认证的行,使pam_winbind 自动的刷新kerberos认证书。
在smb.conf&nbsp;: file: /etc/samba/smb.conf 里添加winbind自动刷新认证的行,使pam_winbind 自动的刷新kerberos认证书。
<pre># winbind separator = +
<pre># winbind separator = +
winbind refresh tickets = yes
winbind refresh tickets = yes
idmap uid = 10000-20000</pre>  
idmap uid = 10000-20000</pre>  
And modify /etc/pam.d/common-auth: file: /etc/pam.d/common-auth

还要修改 /etc/pam.d/common-auth:file:/etc/pam.d/common-auth如下:
还要修改 /etc/pam.d/common-auth:file:/etc/pam.d/common-auth如下:
第403行: 第324行:

=== 疑难解答 ===
=== 疑难解答 ===
If the Winbind PAM module in <code><nowiki>/var/log/auth.log</nowiki></code> says, that the AD-user is not existing, restart winbind. Probably it's best to restart the whole workstation.

如果 <code><nowiki>/var/log/auth.log</nowiki></code> 文件中的Winbind PAM模块显示, 该AD用户不存在的,重启winbind. 可能重新启动整个工作站是最好的方式.
如果 <code><nowiki>/var/log/auth.log</nowiki></code> 文件中的Winbind PAM模块显示, 该AD用户不存在的,重启winbind. 可能重新启动整个工作站是最好的方式.
第410行: 第329行:
==== 其他文档(External Docs) ====
==== 其他文档(External Docs) ====
Also see [http://wiki.randompage.org/index.php/Using_Samba_on_Debian_Linux_to_authenticate_against_Active_Directory Using Samba on Debian Linux to authenticate against Active Directory]on randompage.org. It largely mirrors this page but has a little more detail.

另见在 randompage.org上的 [http://wiki.randompage.org/index.php/Using_Samba_on_Debian_Linux_to_authenticate_against_Active_Directory Using Samba on Debian Linux to authenticate against Active Directory] . 除了一点细节外,它在很大程度上与这页相似.
另见在 randompage.org上的 [http://wiki.randompage.org/index.php/Using_Samba_on_Debian_Linux_to_authenticate_against_Active_Directory Using Samba on Debian Linux to authenticate against Active Directory] . 除了一点细节外,它在很大程度上与这页相似.




2008年4月17日 (四) 16:16的最新版本

{{#ifexist: :ActiveDirectoryWinbindHowto/zh/zh | | {{#ifexist: ActiveDirectoryWinbindHowto/zh/zh | | {{#ifeq: {{#titleparts:ActiveDirectoryWinbindHowto/zh|1|-1|}} | zh | | }} }} }} {{#ifeq: {{#titleparts:ActiveDirectoryWinbindHowto/zh|1|-1|}} | zh | | }}

这是一个关于怎样在一个Active Directory domain中增加一个ubuntu box并使用AD进行用户验证的介绍.


名称 版本
MS Windows Server 2003 standard sp1
Linux Ubuntu Breezy 5.10
Winbind 3.0.14a-Ubuntu
Samba 3.0.14a-Ubuntu
krb5-user 1.3.6-1
libpam-krb5 1.0-12

Used terms

term definition
AD 活动目录(Active Directory)
DC 域控制器(Domain Controller)
lab.example.com AD domain
win2k3.lab.example.com DC FQDN DC IP
LAB.EXAMPLE.COM Kerberos Realm
linuxwork Ubuntu工作站的计算机名
linuxwork.lab.example.com Ubuntu工作站的完整域名
ntp.example.com timeserver (NTP)


配置活动目录(AD)所在网络的Ubuntu客户端的第一步是确保网络的畅通和ActiveDirectory的域控制器的名字解析无误. 可以用一个简单的方法来验证这两点,那就是ping你的网络上的活动目录的域控制器的完整域名(FQDN)。

root@linuxwork:~# ping win2k3.lab.example.com
PING win2k3.lab.example.com ( 56(84) bytes of data.
64 bytes from win2k3.lab.example.com ( icmp_seq=1 ttl=128 time=0.176ms

ping的输出显示FQDN已经被成功的解析为一个IP地址了,并且您ubuntu工作站和AD DC之间的连接已经畅通。


时间对于kerberos是必不可少的,他用于ActiveDirectory网络中的认证. 最简单的方法是使用一个NTP服务器来确保时间的正确同步 每一个活动目录域控制器同时也是一个NTP服务器,为了达到最佳效果,在Ubuntu默认的ntpdate应用中使用AD DC的完整域名,他将在开机时或者按指定的要求来同步时间。

file: /etc/default/ntpdate

# servers to check
# additional options for ntpdate
root@linuxwork:~# /etc/init.d/ntpdate restart

Synchronizing clock to win2k3.lab.example.com... [ ok ]


对于Kerberos和活动目录来说,一个有效的FQDN是必不可少的 活动目录非常依赖于DNS,因此很可能您的ActiveDirectory域控制器也在运行着Microsoft的DNS服务器组件. 在这里,我们将在您的ubuntu工作站上编辑本地hosts文件,以确保您的域名是可以解析的.

file: /etc/hosts linuxwork.lab.example.com localhost linuxwork

您也可以通过ping您自己的完整域名来测试您的配置 输出的结果应该类似于上面的ping输出的结果,在网络中连线测试(当然, 这个域名将是您自己,而IP地址,将将是127.0.0.1).


设置Kerberos的第一步是要安装适当的客户端软件. 这个过程假设你已经在你的sources.list以及Univers repository中打开了所有breezy的main和security源.



root@linuxwork:~# apt-get install krb5-user libpam-krb5

对于krb5-user 您将需要universe repository.


如果你不打算在登录时要求Kerberos ticket,你不用安装libpam-krb5软件包.



What are the Kerberos servers for your realm?
What is the administrative server for your Kerberos realm?

这些提示应该根据您负责的域的ActiveDirectory的域控制器来回答. 该krb5-config程序将定制/etc/krb5.conf文件以供安装使用. 在大多数情况下, 这个配置文件将正常工作, 但是,如果你想要一个更精简的配置文件 (例如, without all the Kerberos 4 cruft), 您可以使用下列模板:

file: /etc/krb5.conf

default = FILE:/var/log/krb5.log
ticket_lifetime = 24000
clock_skew = 300
default_realm = LAB.EXAMPLE.COM
# dns_lookup_realm = false
# dns_lookup_kdc = true
kdc = win2k3.lab.example.com:88
admin_server = win2k3.lab.example.com:464
default_domain = LAB.EXAMPLE.COM
.lab.example.com = LAB.EXAMPLE.COM
lab.example.com = LAB.EXAMPLE.COM

注意这两个"dns"指令已经被注释掉. 你可以选择使用dns寻找kerberos realm服务器 或者你可以选择使用krb5.conf文件来定义kerberos realm的服务器. 如果你选择使用DNS, 取消上面的两行注释而代之以在[realms]标题下注释或移除完整的指令.


通过发出kinit命令来获得Ticket-Granting Ticket (TGT),如上所示(你可以使用任何有效域帐户; 它不必是管理员. 你也可以在命令中省略域名,如果"default_realm"指令在 /etc/krb5.conf 文件中被妥善应用的话.

root@linuxwork:~# kinit [email protected]
Password for [email protected]: ****

使用 klist 命令检查一下ticket是否有效.

root@linuxwork:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
01/21/05 10:28:51 01/21/05 20:27:43 krbtgt/[email protected]
renew until 01/21/05 20:28:51

此时,你的Kerberos已经被正确的安装和配置,你可以使用 kdestroy 命令来释放你的测试ticket.



需要的软件 Windows 2003 Server SP1 Winbind version 3.0.14a是必需的。在Hoary中仅有 3.0.10版,但是在Breezy中你能找到3.0.14a。

root@linuxwork:~# apt-get install winbind samba [smbfs smbclient]


软件包"smbfs"是可选的,但是他包含了许多有用的客户端工具,包括"smbmount"命令. "smbclient"软件包也是有用的,其中包括为SMB共享建立一个类ftp客户端.


file: /etc/samba/smb.conf

security = ads
password server =
workgroup = LAB
# winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client use ntlmv2 = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2


"winbind use default domain"参数在单域环境中是非常有用的,使winbind采取所有用户应当在域中进行认证来决定哪一个winbind加入. 如果您的环境包含多个域或假如你的帐户域与资源域不同,请省略这个参数. "winbind separator"选项是可选的,默认值是通常的反斜线"\"域和用户分隔符. 你可以使用"+"号,如果在您的环境因为某个特定原因"\"不能用的话

在修改 /etc/samba/smb.conf文件后,需要重启samba和winbind服务:

root@linuxwork:~# /etc/init.d/winbind stop
root@linuxwork:~# /etc/init.d/samba restart
root@linuxwork:~# /etc/init.d/winbind start

一个帐号要求,要增加一个工作站到AD域需要一个帐号,该帐号要求有效的Kerberos TGT.

root@linuxwork:~# net ads join
Using short domain name – LAB
Joined 'linuxwork' to realm 'LAB.EXAMPLE.COM'

如果Kerberos认证是有效的, 你不应当为密码设置问题。但是, 如果你不能以root用户工作,那么你将使用sudo命令来完成必要的任务,使用命令 sudo net ads join -U username ,当提示要求时输入您的密码。否则, 你会被要求作为[email protected]进行认证 ,以代替一个有效的帐号名.


# wbinfo -u


# wbinfo -g

设置认证(Setup Authentication)


file: /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat


Check Winbind nsswitch module with getent.

root@linuxwork:~# getent passwd

root@linuxwork:~# getent group



这个配置下,你可以利用本地用户或域用户访问工作站 域用户第一次登录时会创建一个home目录. 这个PAM配置假定这个系统将主要用于域帐户. 如果相反(即,该系统将主要用于本地用户), 当使用本地用户时,pam_winbind.so和pam_unix.so顺序应当翻转. 这儿显示的配置将导致登录时和使用sudo时Windows/samba DC认证失败. 这样可能丢失DC的事件日志 同样的,如果先检查本地帐户, 每次当一个域帐户被访问,/var/log/auth.log将满布失败的登录尝试.

登录时这个PAM配置不需要Kerberos TGT. 需要ticket,登录后使用kinit,并考虑在登出脚本内使用"kdestroy".

file: /etc/pam.d/common-account

account sufficient pam_winbind.so
account required pam_unix.so

file: /etc/pam.d/common-auth

auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so

file: /etc/pam.d/common-session

session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

file: /etc/pam.d/sudo

auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required pam_deny.so
@include common-account



root@linuxwork:~# mkdir /home/LAB


如果你想能够通过管理你的ubuntu box使用一个活动目录帐号,你需要把他加到 sudoers文件中。因此,你需要编辑 /etc/group文件并且加入你的用户名到admin(管理员)组中和任何你需要加入的 用户组(提示一下,比如plugdev,audio,cdrom)。将会像这样:


那里的olduser就是你当前的linux用户而ActiveDirectoryUser就是'%Domain\ admins'新的管理员用户。另一个创建域组(你的ubuntu里的一个sudoer)的方法是编辑文件 /etc/sudoers(使用指令'visudo‘)然後加入一下行:

%adgroup ALL=(ALL) ALL

那里的adgroup就是一个你的活动目录里的组。清注意,组的名字里不能有空格,也许你可以用'%Domain\ admins',但我还没测试过。


使用“域+用户名”登录,除非你在smb.conf中设定了"winbind use default domain"(winbind使用默认网域名称),那样的话,你可以直接用“用户名”登录。

login: LAB+manuel
Password: *****


在smb.conf : file: /etc/samba/smb.conf 里添加winbind自动刷新认证的行,使pam_winbind 自动的刷新kerberos认证书。

# winbind separator = +
winbind refresh tickets = yes
idmap uid = 10000-20000

还要修改 /etc/pam.d/common-auth:file:/etc/pam.d/common-auth如下:

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so


如果 /var/log/auth.log 文件中的Winbind PAM模块显示, 该AD用户不存在的,重启winbind. 可能重新启动整个工作站是最好的方式.

root@linuxwork:~# /etc/init.d/winbind start

其他文档(External Docs)

另见在 randompage.org上的 Using Samba on Debian Linux to authenticate against Active Directory . 除了一点细节外,它在很大程度上与这页相似.