Samba通過AD域進行認證並限制空間大小

Samba通過AD域進行認證並限制空間大小

    本文實現了samba服務被訪問的時候通過windows域服務器進行用戶名和密碼驗證;認證通過的用戶可以自動分配500M的共享空間;在用戶通過windows域登陸系統的時候可以自動把這塊空間映射成一塊硬盤。

 一、環境說明：

    文件服務器用的Centos5.3，域控用的Win2k3 sp2，Domain是rainbird.net。

      Centos5.3:

      Name:Filesrv

      IP:192.168.1.245

      Dns:192.168.1.241

      Samba:3.0.33-3.7.el5

        Win2k3:

      Name:ad1

      Ip:192.168.1.241

      Dns:192.168.1.241

 二、實驗步驟：

1.samba服務器軟件需求 

       krb5-workstation-1.2.7-19 
       pam_krb5-1.70-1 
       krb5-devel-1.2.7-19 
       krb5-libs-1.2.7-19 
       samba-3.0.5-2 
       [root@filesrv CentOS]# rpm -qa|grep krb5

       krb5-auth-dialog-0.7-1

       krb5-libs-1.6.1-25.el5

       krb5-devel-1.6.1-25.el5

       pam_krb5-2.2.14-1

       krb5-workstation-1.6.1-25.el5

       [root@filesrv CentOS]# rpm -qa|grep samba

       samba-swat-3.0.28-0.el5.8

       samba-common-3.0.28-0.el5.8

       samba-client-3.0.28-0.el5.8

       samba-3.0.28-0.el5.8 

如果centos在安裝的時候沒有取消默認選中的”Base”,則krb5的包是默認全部安裝

如果沒有選擇安裝samba可以這樣安裝

[root@filesrv CentOS]# rpm -ivh xinetd-2.3.14-10.el5.i386.rpm

[root@filesrv CentOS]# rpm -ivh --aid samba*.rpm  

2.配置kerberos(關鍵) 
下面配置參數讓 Kerberos 進程知道處理活動目錄服務器，對 /etc/krb5.conf 做適當的修改，修改時需要注意的是Kerberos 是大小寫敏感的。 這是我的krb5.conf配置文件： 

[logging] 

default = FILE:/var/log/krb5libs.log 
kdc = FILE:/var/log/krb5kdc.log 
admin_server = FILE:/var/log/kadmind.log 

[libdefaults] 
ticket_lifetime = 24000 
default_realm = RAINBIRD.NET    //默認域名，注意是大寫
dns_lookup_realm = false 
dns_lookup_kdc = false 

[realms] 
RAINBIRD.NET = { 
kdc = 192.168.1.241:88    //域服務器ip
# admin_server = kerberos.example.com:749 
default_domain = RAINBIRD.NET 
} 

[domain_realm] 
. rainbird.net = RAINBIRD.NET
rainbird.net = RAINBIRD.NET 

[kdc] 
profile = /var/kerberos/krb5kdc/kdc.conf 

[appdefaults] 
pam = { 
debug = false 
ticket_lifetime = 36000 
renew_lifetime = 36000 
forwardable = true 
krb4_convert = false 
} 

3.測試kerberos
kinit administrator@RAINBIRD.NET    //這裏必須是大寫 
kinit 命令將測試服務器間的通信，administrator爲域內存在的用戶， RAINBIRD.NET 是你的活動目錄的域名，必須大寫。正確操作的提示:

[root@filesrv~]# kinit [email protected]

Password for [email protected]: (正確輸入密碼後直接返回)

[root@filesrv~]#

可能遇到的幾個常見錯誤:

域名錯誤： 
kinit(v5): Cannot find KDC for requested realm while getting initial credentials. 
密碼錯誤，驗證失敗：
kinit(v5): Preauthentication failed while getting initial credentials.

用戶不存在:

kinit(v5): Client not found in Kerberos database while getting initial credentia.

時間不一致:

kinit(v5): Clock skew too great while getting initial credentials.

4.配置winbind

修改/etc/nsswitch.conf

passwd: files winbind

shadow: files winbind

group: files winbind

5.配置samba 

修改/etc/samba/smb.conf

workgroup = RAINBIRD

server string = Filesrv

password server = AD1.RAINBIRD.NET    //域服務器,可以用ip也可以用域名

realm = RAINBIRD.NET    //活動目錄服務器域名

security = ads    //採用活動目錄認證方式

idmap uid = 16777216-33554431

idmap gid = 16777216-33554431

template shell = /sbin/nologintemplate

homedir = /mnt/localhome/%U

winbind use default domain = true

winbind offline logon = true

winbind enum groups = yes

winbind enum users = yes

winbind separator = / 

紅色部分是要修改的，藍色部分是要新增的。建議直接把已經存在的註釋掉，把這裏列出來的東西，直接放進去，這樣在一塊方便查找。
我們現在把samba服務器加入windows域。

[root@filesrv1 samba]# net ads join -U [email protected]

[email protected]'s password:

Using short domain name -- RAINBIRD

Joined 'FILESRV1' to realm 'RAINBIRD.NET'
正常的話提示是”Joined” 

 

加入失敗可能的原因:      

兩臺機器的時間不一致！

重新啓動服務 
service smb restart

service winbind restart

設定服務開機自動啓動

chkconfig smb on

chkconfig winbind on

 

咱們去Windows 2003 服務器上檢查一下：打開活動目錄用戶和計算機，查看其中的條目，如果成功的話，就可以看到你的Linux 服務器。

這裏樣你可以用wbinfo做一些測試驗證Samba主機已成功加入AD域

[root@filesrv samba]# wbinfo -t

checking the trust secret via RPC calls succeeded

說明主機信任已成功建立

使用wbinfo –u 可以列出AD中註冊的帳號信息

[root@filesrv samba]# wbinfo -u

administrator

guest

support_388945a0

krbtgt

rainbird

rainbow

a

a1

a2

root

a3

a4

a5

a6

a7

a8

a9

a10

使用Wbinfo –g可以返回AD中的組信息

[root@filesrv samba]# wbinfo -g

domain computers

domain controllers

schema admins

enterprise admins

domain admins

domain users

domain guests

group policy creator owners

dnsupdateproxy

可能的錯誤：

如果你wbinfo –t 測試的時候提示如下：

[root@filesrv samba]# wbinfo -t

checking the trust secret via RPC calls failed

error code was  (0x0)

Could not check secret

說明你winbind服務沒起動，重啓一下就OK了

當然了有必要說一下，winbind如果提示啓動成功但沒有啓動的話，有可能是因爲你沒有加入到域，所以嚴格按本文的操作步驟來做，你不會錯過

 6.自動創建用戶目錄

在smb.conf中，有一句template shell = /sbin/nologin。是的，samba服務器，我們只希望他提供samba服務，不希望有用戶登陸。在上一篇文章中解決用戶登陸時主目錄不存在的問題，用的是pam_mkhomedir.so這個東東。在文件共享這塊，對於通過samba訪問過來的請求不會創建主目錄！這可如何是好？這就是腳本mkhome.sh存在的原因。特別注意，請將mkhome.sh腳本放在一個所有用戶都能訪問的目錄下，並且設置文件權限爲755，否則可能出現域用戶登錄Samba服務器時無法執行該腳本的情況！

以下是mkhome.sh腳本內容

#!/bin/bash

user=$1

group=$2

home=/home/$1

if [ ! -d $home ] ; then

mkdir -p $home

chown $user $home

chgrp $group $home

chmod 700 $home

edquota -p administrator -u $user

fi

這個腳本接受兩個參數，一個是用戶名，一個是組名。然後給這個用戶創建目錄，並分配權限，然後再給分配一下用戶空間。Ok，回頭看一下smb.conf文件。

[homes]

comment = Home Directories

path = /mnt/localhome/%U    //共享的目錄

valid users = rainbird.net/%U    //認證的用戶，前面必須加rainbird.net

read only = No

browseable = No

root preexec = /mnt/localhome/mkhome.sh %U %G    //執行創建目錄的操作，注意腳本所在目錄及文件的執行權限。

這段配置中最帥的就是這個mkhome.sh的存在。因爲這個腳本的執行者是root,所以我們腳本的權限設置700即可。再往下我們將繼續探索它的神奇魔力。寫完這段保存一下，重啓smb:service smb restart。這樣在一臺xp的機器上用域用戶登陸，然後訪問\\192.168.1.246，是不是看到了一個以你登陸的域用戶名命名的一個文件夾呢？沒錯，就是它！你現在可以試下刪寫文件了。

7.設置磁盤配額      

因爲磁盤配額只能在一塊單獨的分區上啓用，所以筆者專門添加了一塊分區掛載到home目錄下，這點要注意。

編輯fstab

[root@filesrv1 ~]#vi /etc/fstab
/dev/hdb1               /home               ext3    defaults,usrquota,grpquota

選擇分區，將default選項改爲："defaults,usrquota,grpquota"（針對用戶和組做磁盤配額）或"defaults,usrquota"（針對用戶做磁盤配額）或"defaults,grpquota"（針對組做磁盤配額）

重新掛載文件系統

[root@filesrv1 ~]#mount -o remount /home

創建配額文件

[root@filesrv1 ~]#quotacheck –cmug /home

啓動配額

[root@filesrv1 ~]#quotaon -av

配額設置

[root@filesrv1 ~]# edquota -u administrator

Disk quotas for user administrator (uid 16777216):

  Filesystem                   blocks       soft       hard     inodes     soft     hard

 /dev/sdb1                           20           0           0           3         0        0

其中

blocks：已用磁盤空間

        soft，磁盤空間軟限制；hard：磁盤空間硬限制
inodes：已寫多少個文件

        soft：磁盤文件數量軟限制；hard：磁盤文件數量硬限制

查看磁盤配額情況
[root@filesrv1 home]#quota -u administrator

如果想服務器啓動後自動啓動磁盤配額，可以修改/etc/rc.d/rc.local文件，增加一行

quotaon /dev/sdb1

 

分析：使用磁盤限額有一點不爽的地方就是它不是默認給所有的用戶設置限額。也就是說，如果你想給哪個用戶啓用磁盤限額，你必須先建立那個用戶，然後再針對那個用戶進行限制。可是在域裏，我們所有的用戶已經建立好了,怎麼一個一個的給進行磁盤限額呢？還好edquota提供了一個特性，就是可以做一個用戶模板把配置複製給新用戶，這樣就簡單了。如果要手動給用戶分配限額的話這樣就可以搞掂：

wbinfo -u|xargs|edquota -p administrator -u

這樣就把administrator這個用戶的配額情況“分發”給了所有用戶！

還記得我們的mkhome.sh嗎？裏面有這第一句：

edquota -p administrator -u $user

這句話的意思就是以administrator爲模板給用戶設置磁盤限額。這樣寫在腳本里不但省去了手工執行，新添加用戶也不怕了。

8.域用戶登陸自動掛載自己的共享文件夾

能做到這步那麼恭喜你，因爲終點就在眼前了。到這一步，你已經成功完成了samba通過ad域進行驗證，並給驗證用戶分配500M的固定空間，現在就讓我們一鼓作氣，將這個優雅的高難度動作畫個完美的句號吧。

我們知道windows有個“映射網絡驅動器”的功能，今天用到的東東就是它。其實原理很簡單，就是我們寫個批處理，這個批處理的功能是獲得登陸用戶的用戶名，然後去連接共享。而用戶登陸的時候就自動執行這個批處理。

這個操作在域服務器上進行。在服務器上有個路徑C:\WINDOWS\SYSVOL\sysvol\rainbird.net\scripts，把你想要域用戶登陸執行的腳本放在這個文件裏就可以了。

Share.cmd裏面的內容是:

@echo off

if exist P: net use P: /del /y

net use P: \\192.168.1.246\%USERNAME%

這個文件的權限要設置成everyone讀取。不然後域用戶登陸的時候會報錯的喲。接着打開“active directory 用戶和計算機”找到users，多選你要分配空間的用戶，如圖，選擇“屬性”。

找到“配置文件”，選中“登錄腳本”，在後面的框裏輸入“share.cmd”

這樣，被選中的用戶下次再登陸的時候就被“強制”執行這樣腳本。當然這個策略不知道要多長時間才能分發下去。如果你現在就想讓它生效，那麼執行下列命令：

gpupdate /force

域用戶登陸以後在我的電腦就會看到這塊共享盤

就是FileSrv那個了。雙擊打開，就像操作本地硬盤一樣方便。

可以添加修改文件。至於空間是不是限定了500M那就自己試一下吧，或者去linuxquota查詢也可以。