linux域账号登录&自动挂载

搭建AD域

系统:windows server 2019
IP:10.100.12.254
DNS:10.100.12.254
主机名:ad
域名:bresee.cn

域控制器搭建准备工作

  • 192.168.88.254、DNS指向自己
  • 设置主机名为ad(这里面主机名注意不要与后面的根域的名称一样,否则后面netbios的名字会冲突)、我这里面设置为ad,
  • 以本地管理员身份登录
  • 安装配置
    • 安装AD域服务(不用单独选择DNS,会自动安装的)
      • 域的部署方式(添加到新林)
      • 域的名称(bresee.cn)
      • 林和域功能级别(默认)
      • 是否同时是DNS(是)
      • 目录还原恢复密码(是)
      • AD数据库的文件的路径(默认)
      • netbios名称(BRESEE)
    • 提升为域控制器并配置参数
    • 在user admins里面创建一个用户zhanghe并设置密码;
    • 创建一个普通用户share并设置密码(用于共享)
    • 另外创建普通用户zhansan、lisi、wanger
  • 验证1,新建完域控制器之后,一定要看的地方就是DNS,如下所示

DNS里面的记录一定要全,正向反向都得有,而且上面四项,下面五项,如下所示:

有一次一个客户企业里面的AD域重启之后发现用户都不能加域了,显示无法联系到域控制器,最后排查时就发现AD上的正向查找区域里面的缺少条目,这种情况怎么处理呢?

第一步:保证AD的DNS是指向自己的的IP地址的,注意,不要指向127,而是真真正正的IP地址;

第二步:将正向查找区域里面的两个区域属性里面的动态更新全都改成“安全”

第三步:重启netlogon服务之后,刷新即可回来

“组织单位”相当于一个部门
当我们以一个普通用户加域时,加完之后默认域里面的administrator和domain admins组已经加入到里面了。

存储加域253

# 系统:windows server 2019
# IP:10.100.12.253
  • 改计算机名
  • dns指向AD
  • 测试AD域名
  • 加域(加完之后,在域用户管理里面的compter里面有一条记录)
  • 以域用户登录share
  • 共享一个目录给zhangsan、lisi、但不共享给wanger

Centos7 加域

  • 参考redhad官网链接
#centos 基本信息
[zs@bresee.cn@c7 ~]$ cat /etc/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

[zs@bresee.cn@c7 ~]$ uname -r
3.10.0-957.el7.x86_64


[zs@bresee.cn@c7 ~]$ uname -r
3.10.0-957.el7.x86_64
[zs@bresee.cn@c7 ~]$ arch
x86_64
[zs@bresee.cn@c7 ~]$ hostname
c7.bresee.cn
[zs@bresee.cn@c7 ~]$ hostname -I
10.100.12.252

第一种办法

第一种办法是redhat官网推荐,个人测试之后发现并不是特别好用,有时候加域之后是无法查询已经存在的用户的,而且和域控制器之间的同步间隔较大,有时候需要强制重启sssd服务;

# 安装必须的包
yum install -y krb5-workstation realmd sssd samba-common adcli oddjob oddjob-mkhomedir samba samba-common-tools cifs-utils

# ssh的优化
USEDNS no

# 关闭selinux

# 时区指对 
timedatectl set-timezone Asia/Shanghai

# DNS指向DNS
[root@test ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens192 | grep -i dns
DNS1=10.100.12.252

# 添加hosts
[zs@bresee.cn@c7 ~]$ cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 c7.bresee.cn
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.100.12.254 bresee.cn
# 重命名
[zs@bresee.cn@c7 ~]$ cat /etc/hosts
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 c7.bresee.cn
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
10.100.12.254 bresee.cn

[root@test ~]# reboot
[zs@bresee.cn@c7 ~]$ cat /etc/resolv.conf
# Generated by NetworkManager
search bresee.cn
nameserver 10.100.12.254

# 必须修改host名,重启之后

# 测试dns
ping bresee.cn

# 发现
realm discover bresee.cn
# 加入
realm join bresee.cn

# sssd的配置文件
[root@host01 ~]# cat /etc/sssd/sssd.conf

# 测试
su - zhanghe@abc.com

# 设置成开机启动
systemctl restart sssd
systemctl enable sssd

# 定时任务,每三个小时自动重启sssd服务

# 授权
visudo
ALL     ALL=(ALL)   NOPASSWD:  ALL

# SMB 挂载和测试,读写测试成功
mkdir ~/test
sudo mount -t cifs -o username="zs@bresee.cn",password="*Ab123456",uid=$(id -u) //10.100.12.253/share test

# 开机自动挂载,成功!
写入到.bashrca里面

# 通过xshell等终端登录时
ssh zs@bresee.cn@IP

第二种办法

第二种办法是一个开源解决方案,个人感觉非常好用,安装方便,同步速度也非常快,也不用做什么预先的配置,只需要把DNS配置好就行,github下载链接:https://github.com/BeyondTrust/pbis-open/releases/

如果你是centos系统就下载结尾是rpm.sh,如果是ubuntu就下载结尾是deb.sh的安装包,下载好之后上传到服务器上,直接

/bin/bash /pbis-open-9.1.0.551.linux.x86_64.rpm.sh 

安装完之后会自动把PATH变量配置好,可以直接使用,如下所示:

# bresee.cn是windows AD的域名
# 接下来让你输入用户名和密码,注意这里面的用户名和密码是必须是在域控当中有管理员权限的,必须在doamin admin里面的才行;
domainjoin-cli join bresee.cn

该命令还会在 /etc/hosts 文件中添加条目,如下所示:

[root@c71 ~]# cat /etc/hosts
127.0.0.1 c71.bresee.cn c71 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
#测试
[root@c71 ~]# domainjoin-cli query
Name = c71
Domain = BRESEE.CN
Distinguished Name = CN=C71,CN=Computers,DC=bresee,DC=cn

#退出
domainjoin-cli leave
# sudo 设置

# visudo打开之后,在配置文件中添加如下行
ALL ALL=(ALL) NOPASSWD: ALL

# 设置默认shell
 /opt/pbis/bin/config LoginShellTemplate /bin/bash
# 修改命名规则
opt/pbis/bin/config HomeDirTemplate %H/%U@%D

# 重启服务
/opt/pbis/bin/lwsm restart lsass

ubuntu 加域

我们使用第二种办法,基本上与centos基本上一致的。

posted @ 2022-05-06 16:08  张贺贺呀  阅读(1250)  评论(0编辑  收藏  举报