توی محیط های مشترک ویندوز و لینوکس (Mixed enviroment) یه سری مشکلات داشتم. یکیش دیدن فایلهای اشتراک گذاشته شده توسط کامپیوتر های تحت دامنه بود. برای این کار باید عضو دامنه می شدم. از یه سری مستندات قدیمی استفاده کردم که متاسفانه نمی دونم منشا هیچ کدوم کجاست. از همین جا از صاحبان نوشته های اصلی حلالیت می طلبم 🙂 . اگه کسی از صاحبان اثر نشان و لینکی داشت ارائه بده تا در زیر متن به عنوان منبع اضافه کنم.
مشکل؟
مشکل اینه که وقتی می خوای پوشه های اشتراک گذاشته شده توسط سیستم های ویندوزی تحت دامنه رابا sambaclient ببینی با پیغام زیر مواجه می شی:
root@eslamifar:~# mount -o cifs //192.168.1.11/public /mnt/Password:mount error(13): Permission deniedRefer to the mount.cifs(8) manual page (e.g. man mount.cifs)
root@eslamifar:~# smbclient -L 192.168.1.11 -U administratorEnter helpdesk’s password:session setup failed: NT_STATUS_LOGON_FAILURE
در این حالت در صورتی که سیستم ویندوزی را بررسی کنید، در بخش security در eventviewer پیغام Audit failur مشاهده می کنید با محتوای NULL SID
راه حل؟
join to domain سیستم لینوکسی
گام اول: نصب بسته های مورد نیاز
aptitude install libkrb53 krb5-config krb5-user samba winbind ntpdate ntp smbclient cifs-utils
گام دوم: پیکربندی مربوط به DNS
مشخصات دامنه و سرور AD را مشخص کنید و در فایل etc/hosts/ آدرس های آنها را اضافه کنید.
192.168.1.12 ad.bidotis.net bidotis.net ad
دقت داشته باشید که در تنظیمات شبکه، آدرس DNS را بر روی سرور AD قرار دهید در این مثال 192.168.1.12
گام سوم: پیکربندی سرویس samba
فایل smb.conf را ویرایش کنید و تنظیمات زیر انجام دهید. توصیه می کنم که فایل از فایل پیشفرض یه پشتیبان بگیرید و تنظیمات را درون یک فایل خالی بریزید
mv /etc/samba/smb.conf /etc/samba/smb.conf.orig
vim /etc/samab/smb.conf
تنظیمات زیر را در فایل خالی، بریزید. بخش هایی که نام دامنه با حروف بزرگ نوشته شده را رعایت کنید.
realm = BIDOTIS.NET
security = ADS
encrypt passwords = yes
password server = ad.bidotis.net
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
workgroup = BIDOTIS
گام چهارم: پیکربندی kerberos
فایل etc/krb5.conf را به صورت زیر پیکربندی کنید
[logging]
default = FILE:/var/log/krb5lib.log[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = BIDOTIS.NET[realms]
BIDOTIS.NET = {
kdc = AD.bidotis.net
admin_server = AD.bidotis.net
default_domain = bidotis.net
}[domain_realm]
.bidotis.net = BIDOTIS.NET
bidotis.net = BIDOTIS.NET
گام نهایی: join to domain توسط دستور net
از دستور زیر استفاده کنید
root@eslamifar:~# net ads join -S AD.BIDOTIS.NET -U administrator
Enter helpdesk’s password:
Using short domain name — BIDOTIS
Joined ‘ESLAMIFAR’ to realm ‘bidotis.net’
No DNS domain configured for eslamifar. Unable to perform DNS Update.
اگر پیغامهای دریافتی مشابه دستور بالا بود، عملیات موفق انجام شده و می تونید share را ببینید. در این مقاله قصد نداشتم که کلا لینوکس با AD احراز هویت را انجام بده . برای همین تنظیمات مربوط به این بخش را انجام ندادم.
2 پاسخ