Thaiadmin

Samba User and Password sync with Windows 2008 R2 AD

0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

ออฟไลน์ warawich

  • **
  • 40
  • 0
Samba User and Password sync with Windows 2008 R2 AD
« เมื่อ: 23 สิงหาคม 2012, 16:22:57 »
เกริ่นก่อนนะครับ ผมต้องการจะทำ Single Sign On คือ User สามารถ Login เข้า Linux Centos 5.8 โดยใช้ Username และ Password เดียวกะ Windows 2008 R2 AD
ที่ตอนนี้ทำคือใช้ LDAP ดึง User ผ่าน Kerberos มาได้เรียบร้อยแล้ว แต่ความต้องการยังไม่หมดแค่นั้นครับ ผมยังต้องการให้สามารถ Share Home Directory บน Linux ผ่าน Samba มาที่เครื่อง Client ด้วบ

คำถามคือ มีวิธีการไหนบ้างครับที่สามารถ sync user และ password จาก AD มาที่ Samba ได้บ้าง

ขอบคุณที่เข้ามาอ่านนะครับ

   
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ stwatchai

  • *****
  • 3,917
  • 4
  • เพศ: ชาย
  • System & Network Administrator
Re: Samba User and Password sync with Windows 2008 R2 AD
« ตอบกลับ #1 เมื่อ: 23 สิงหาคม 2012, 17:13:21 »
samba version ไหนครับ (เพราะว่า windows 2008 จะมีปัญหากับ samba version เก่าๆหน่อย) จะต้องใช้ version 3 เป็นต้นไปมั่งครับ
มันจะมี winbind daemon ในการ จอย samba เข้าไปเป็น additional domain ได้เลยครับ
ลองศึกษาดูครับ

ออฟไลน์ warawich

  • **
  • 40
  • 0
Re: Samba User and Password sync with Windows 2008 R2 AD
« ตอบกลับ #2 เมื่อ: 23 สิงหาคม 2012, 17:28:18 »
samba version ไหนครับ (เพราะว่า windows 2008 จะมีปัญหากับ samba version เก่าๆหน่อย) จะต้องใช้ version 3 เป็นต้นไปมั่งครับ
มันจะมี winbind daemon ในการ จอย samba เข้าไปเป็น additional domain ได้เลยครับ
ลองศึกษาดูครับ

ใช้ samba 3.0.33 อยู่ครับ น่าจะได้ใช่ไหมครับ

กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ warawich

  • **
  • 40
  • 0
Re: Samba User and Password sync with Windows 2008 R2 AD
« ตอบกลับ #3 เมื่อ: 24 สิงหาคม 2012, 12:08:34 »
ทำผ่าน winbind ได้แล้วครับ  :)  group มันดึงมาหมดเลย แต่ user ดันตีกะ ldap ของเก่า
เลยต้อง disable ldap ไป

ขอบคุณครับ
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ warawich

  • **
  • 40
  • 0
Re: Samba User and Password sync with Windows 2008 R2 AD
« ตอบกลับ #4 เมื่อ: 27 สิงหาคม 2012, 15:46:01 »
ไหนก็ทำแล้วก็เอาตัวอย่างมาให้ดูเลยละกันครับ  :)

Linux site

1.  install Samba version 3 and Winbind
  yum install samba3x.i386 samba3x-client.i386 samba3x-common.i386 samba3x-winbind.i386 samba3x-winbind-devel.i386

2. vim /etc/resolv.conf  #Optional
domain  company.local

3. vim /etc/nsswitch.conf

passwd:     files  winbind
shadow:     files  winbind
group:      files  winbind

4. vim /etc/samba/smb.conf

[global]

        workgroup = COMPANY
        server string = Samba Server Version %v
;       netbios name = LINUX
        realm = COMPANY.LOCAL
        password server = winad.company.local
        auth methods = winbind
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        wins support = no
        idmap backend = tdb
        idmap uid = 10000-20000
        idmap gid = 10000-20000

        winbind separator = +
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = Yes
        winbind nested groups = yes
        winbind refresh tickets = yes
                ;template homedir = /home/%D/%U
                template homedir = /home/%U
                template shell = /bin/bash

        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = yes
        restrict anonymous = 2
        winbind offline logon = yes

        log file = /var/log/samba/log.%m
        max log size = 50
        security = ADS
        passdb backend = tdbsam
        local master = no
#### Printer Option ######
        load printers = yes
        cups options = raw
#### Share Option #######
[homes]
        comment = Home Directories
        browseable = no
        writable = yes
        valid users = %S
        directory mode = 0770
        force directory mode = 0770
        create mode = 0660
        force create mode = 0660

[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes

[testshare]
comment = Test share
path = /tmp
read only = no
valid users = @"COMPANY+Domain Users"
force group = "Domain Users"
directory mode = 0770
force directory mode = 0770
create mode = 0660
force create mode = 0660

5. Edit /etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = COMPANY.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 COMPANY.LOCAL = {
  kdc = WINAD.COMPANY.LOCAL:88
  admin_server = WINAD.COMPANY.LOCAL:749
  default_domain = COMPANY.LOCAL
 }

[domain_realm]
 .COMPANY.LOCAL = COMPANY.LOCAL
 COMPANY.LOCAL = COMPANY.LOCAL

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

6. Join Domain with Admin account
linux$   net ads join -U administrator

7.  Start service Samba
service winbind restart
service nmb restart
service smb restart

8. Verify user and group
wbinfo -u
wbinfo -g

9. Setup PAM
vim /etc/pam.d/system-auth-ac

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_krb5.so use_first_pass
-- >auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_krb5.so
-->account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so

password    requisite     pam_lib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_krb5.so use_authtok
-->password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
-->session     optional      pam_krb5.so
-->session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0077
กลุ่มผู้ดูแลระบบแห่งประเทศไทย ขอระงับการใช้ลายเซ็นต์รูปภาพ
อนุญาตให้ใช้ได้เพียง ลายเซ็นต์ที่เป็นข้อความ
จึงประกาศมาเพื่อขอความร่วมมือ จากสมาชิกทุกๆ ท่าน
ในนาม กลุ่มผู้ดูแลระบบแห่งประเทศไทย

ออฟไลน์ Mrprasit

  • ****
  • 718
  • 11
  • เพศ: ชาย
    • www.chevalgrp.com
Re: Samba User and Password sync with Windows 2008 R2 AD
« ตอบกลับ #5 เมื่อ: 14 กันยายน 2015, 17:57:57 »
สอบถามเพิ่มหน่อยครับ มือใหม่มากครับ สงสัย
COMPANE.LOCAL คือ หรือ domain.com เปล่า
winad.company.local คือ winad มาจากไหนครับ

ผมจะทำ samba ใช้งาน AD win2012 R2 ไม่แน่ใจว่าจะเหมือกันหรือเปล่าครับ

ขอบคุณครับ
[img ]http://www.chevalgrp.com/source/banner/laser-cutter-on-metal.jpg[/img]