Linux系统下怎么加入Windows AD域

AD的全称是Active Directory。AD域是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。

两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

1、安装所需软件：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;yum&nbsp;-y&nbsp;install&nbsp;samba&nbsp;samba-client&nbsp;samba-common&nbsp;samba-winbind&nbsp;samba-winbind-clients&nbsp;krb5-workstation&nbsp;ntpdate</span>

2、设置服务自启动并启动服务：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;chkconfig&nbsp;smb&nbsp;on#&nbsp;chkconfig&nbsp;winbind&nbsp;on#&nbsp;service&nbsp;smb&nbsp;start#&nbsp;service&nbsp;winbind&nbsp;start</span>

3、修改 /etc/hosts 文件，添加主机对应记录：

127.0.0.1&nbsp;localhost&nbsp;localhost.localdomain&nbsp;localhost4&nbsp;localhost4.localdomain4::1&nbsp;localhost&nbsp;localhost.localdomain&nbsp;localhost6&nbsp;localhost6.localdomain6192.168.2.150&nbsp;lemon20.contoso.com&nbsp;lemon20

4、设置 DNS 地址并与 AD 服务器同步时间：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;echo&nbsp;"nameserver&nbsp;192.168.2.122"&nbsp;&gt;&gt;&nbsp;/etc/resolv.conf#&nbsp;ntpdate&nbsp;ad.contoso.com</span>

5、设置 Kerberos 票据（可选）：

销毁已经存在的所有票据：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;kdestroy</span>

查看当前是否还存在票据：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;klist&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;klist:&nbsp;No&nbsp;credentials&nbsp;cache&nbsp;found&nbsp;(ticket&nbsp;cache&nbsp;FILE:/tmp/krb5cc_0)</span>

生成新的票据，注意域名大写。

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;kinit&nbsp;administrator@CONTOSO.COM#&nbsp;klistTicket&nbsp;cache:&nbsp;FILE:/tmp/krb5cc_0Default&nbsp;principal:&nbsp;administrator@CONTOSO.COMValid&nbsp;starting&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Expires&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Service&nbsp;principal08/02/16&nbsp;22:35:26&nbsp;&nbsp;08/03/16&nbsp;08:35:29&nbsp;&nbsp;krbtgt/CONTOSO.COM@CONTOSO.COMrenew&nbsp;until&nbsp;08/09/16&nbsp;22:35:26</span>

6、以命令方式设置 samba 与 Kerberos，并加入 AD 域：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#authconfig&nbsp;--enablewinbind&nbsp;&nbsp;--enablewins&nbsp;--enablewinbindauth&nbsp;--smbsecurity&nbsp;ads&nbsp;--smbworkgroup=CONTOSO&nbsp;--smbrealm&nbsp;CONTOSO.COM&nbsp;--smbservers=ad.contoso.com&nbsp;--enablekrb5&nbsp;--krb5realm=CONTOSO.COM&nbsp;--krb5kdc=ad.contoso.com&nbsp;--krb5adminserver=ad.contoso.com&nbsp;--enablekrb5kdcdns&nbsp;--enablekrb5realmdns&nbsp;--enablewinbindoffline&nbsp;--winbindtemplateshell=/bin/bash&nbsp;--winbindjoin=administrator&nbsp;--update&nbsp;--enablelocauthorize&nbsp;--enablemkhomedir&nbsp;--enablewinbindusedefaultdomain</span>

注意命令中的大小写，此步骤也可以使用 authconfig-tui 完成。

7、增加 sudo 权限（可选）：

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;visudo</span>

加入下列设置：

%MYDOMAIN\\domain\&nbsp;admins&nbsp;ALL=(ALL)&nbsp;&nbsp;NOPASSWD:&nbsp;ALL

8、确认是否正确加入 AD 域：

查看 AD 的相关信息

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;net&nbsp;ads&nbsp;info</span>

查看 MYDOMAIN\USERID 的使用者帐户

<span style="color: #57a64a;font-style: italic;line-height: 26px">#&nbsp;wbinfo&nbsp;-u</span>

补充：

如果启用 selinux 的话，需要安装 oddjobmkhomedir 并启动其服务，这样才能确保系统对创建的家目录设置合适的 SELinux 安全上下文。