在CentOS上部署Active Directory(AD)域服务,通常通过集成Samba和Winbind来实现,这为企业环境提供了与Windows AD兼容的身份验证和目录服务,以下是详细的部署步骤和注意事项,帮助您顺利完成配置。
环境准备与系统更新
在开始部署前,确保系统满足基本要求:CentOS 7或更高版本,稳定的网络连接,以及root或sudo权限,首先更新系统并安装必要的软件包,执行以下命令:
sudo yum update -y sudo yum install samba samba-client samba-common-tools winbind krb5-workstation -y
这些软件包提供了Samba服务、客户端工具、Kerberos支持以及Winbind身份验证模块。
配置Kerberos认证
Kerberos是AD认证的核心,需正确配置/etc/krb5.conf文件,编辑该文件,添加域控制器信息,
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = dc1.example.com
admin_server = dc1.example.com
} 将EXAMPLE.COM替换为您的实际域名,并确保KDC(密钥分发中心)地址正确,测试Kerberos认证:
kinit administrator@EXAMPLE.COM
成功获取票据表示配置正确。
部署Samba作为AD域控制器
编辑Samba主配置文件/etc/samba/smb.conf,初始化AD环境:
[global]
workgroup = EXAMPLE
realm = EXAMPLE.COM
server role = active directory domain controller
netbios name = DC1 执行sudo samba-tool domain provision命令,按照提示设置管理员密码和其他选项,完成后,启动并启用Samba服务:
sudo systemctl enable --now samba sudo systemctl enable --now winbind
配置DNS与网络服务
确保DNS服务指向本地域控制器,修改/etc/resolv.conf:
nameserver 127.0.0.1 search example.com
防火墙需开放必要端口:
sudo firewall-cmd --permanent --add-service={dns,kerberos,ldap}
sudo firewall-cmd --reload 验证域功能
加入域的客户端可通过wbinfo -u列出域用户,或使用getent passwd查看同步的用户信息,管理员可通过Windows的“Active Directory用户和计算机”管理工具远程管理CentOS AD。
常见问题与优化
定期检查Samba日志(/var/log/samba/),排查认证或同步问题,性能优化方面,调整/etc/samba/smb.conf中的max log size和idmap config参数,确保用户映射高效。
FAQs
Q1: 如何重置CentOS AD域管理员密码?
A1: 使用samba-tool user setpassword administrator命令,按提示输入新密码,若忘记密码,可通过离机模式或PE环境修复。
Q2: 客户端无法加入域,如何排查?
A2: 检查网络连通性、DNS解析是否正确,以及防火墙是否开放Kerberos和LDAP端口,使用testparm验证Samba配置,查看日志定位具体错误。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复