自从上次用net rpc把linux主机加入到AD域后,着实兴奋了几天.但上次也有些遗留的问题没有搞明白,比如和net ads join加入域的区别.kerbrose认证基本没用到.于是琢磨着用net ads再加一次.趁着老大去北京出差的机会,公司的事情又不是很忙,还是好好来研究一番.

先谈下krb那些支持的包如何装,还是那句老话,图省事,就默认安装吧,虽然用的空间多点,但是知识可是无价的.呵呵.如果实在不放心,可以用rpm -qa | grep krb查看下是否安装了必要的包.

(1)接下来的工作当然是配置/etc/krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = LIZL.COM #改成自己的
 dns_lookup_realm = false
 dns_lookup_kdc = true    #这个地方有改动

[realms]
    LIZL.COM = {
      kdc = 192.168.51.33:88   #一个字,改
      admin_server = 192.168.51.33:749 #再改
      default_domain = LIZL.COM  #还是改
    }

[domain_realm]
 .lizl.com = LIZL.COM  #改成自己的AD
 lizl.com = LIZL.COM   #改成自己的AD

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf 

[appdefaults]
     pam = {
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false
    }

(2)文件配置好了,现在要用kerbrose自带的命令来操作了.

[root@leeldap etc]# kinit administrator@LIZL.COM
kinit(v5): Cannot find KDC for requested realm while getting initial credentials

又是错误,错误关键字resolve,马上想到/etc/resolv.conf,打开一看,原来用的公司的dns,改用自己的

go on,

终于出现密码输入框了,一阵窃喜,但又蹦出个时间不同步,查资料,原来要求在5分钟以内.马上查AD服务器和LINUX服务器的时间,faint,居然是一样,那你怎么还报错,突然想起linux安装的时候有提示是否同步时间服务器的过程,查资料.最后用命令

同步了时间,再次kinit,终于不报错了.谢天谢地.
(3)修改/etc/samba.conf配置文件
和net rpc join差不多,只是需要更改security = ads就可以了
(4)然后启动smb和winbind服务
(5)使用net ads join(不用带参数)加入域

[root@leeldap var]# net ads join
Using short domain name -- LIZL
Joined 'LEELDAP' to realm 'LIZL.COM'

(6)然后用wbinfo和getent命令查看写是否加入域成功...