怎么在初次安装RHEL5之后选择加入Windows Active Directory

# 怎么在初次安装RHEL5之后选择加入Windows Active Directory

## 前言

在企业IT环境中，将Linux系统整合到现有的Windows Active Directory（AD）域中是常见的需求。Red Hat Enterprise Linux 5（RHEL5）虽然是一个较旧的版本，但仍可能在某些传统环境中使用。本文将详细介绍如何在初次安装RHEL5后将其加入Windows AD域，以实现集中身份验证和管理。

---

## 准备工作

在开始之前，请确保满足以下条件：

1. **网络连接**：RHEL5服务器必须能够与AD域控制器（DC）通信。
2. **AD域信息**：需要知道AD域的FQDN（如`example.com`）、域控制器的IP或主机名。
3. **管理员权限**：在AD域中需要有权限将计算机加入域的用户账户。
4. **时间同步**：确保RHEL5系统时间与AD域控制器同步（可使用NTP服务）。

---

## 步骤一：安装必要软件包

RHEL5默认不包含加入AD域所需的全部工具，需要手动安装以下软件包：

```bash
yum install -y krb5-workstation pam_krb5 samba-common authconfig

如果yum不可用（如未注册订阅），需从RHEL5安装介质手动安装这些RPM包。

步骤二：配置Kerberos

编辑Kerberos配置文件/etc/krb5.conf：

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 EXAMPLE.COM = {
  kdc = dc1.example.com:88
  admin_server = dc1.example.com:749
  default_domain = example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

替换EXAMPLE.COM和dc1.example.com为实际的域名和域控制器名称。

步骤三：配置Samba

编辑/etc/samba/smb.conf：

[global]
   workgroup = EXAMPLE
   realm = EXAMPLE.COM
   security = ads
   encrypt passwords = yes
   password server = dc1.example.com
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind use default domain = yes
   template homedir = /home/%U
   template shell = /bin/bash

步骤四：加入AD域

1. 测试Kerberos通信：

   kinit administrator@EXAMPLE.COM
   

   输入AD管理员密码，成功后用klist验证票据。

2. 执行加入域操作：

   net ads join -U administrator
   

   按提示输入密码，成功后会显示”Joined ‘RHEL5’ to realm ‘EXAMPLE.COM’“。

步骤五：配置Winbind和PAM

1. 启动Winbind服务：

   chkconfig winbind on
   service winbind start
   

2. 使用authconfig工具配置系统认证：

   authconfig --enablewinbind --enablewinbindauth --smbsecurity=ads \
   --smbworkgroup=EXAMPLE --smbrealm=EXAMPLE.COM --smbservers=dc1.example.com \
   --enablewinbindoffline --enablekrb5 --krb5realm=EXAMPLE.COM \
   --enablekrb5kdcdns --enablekrb5realmdns --update
   

步骤六：验证集成

1. 检查域用户：

   wbinfo -u
   

   应显示AD域用户列表。

2. 测试登录：

   su - 'EXAMPLE.COM\administrator'
   

   或通过SSH尝试使用域凭证登录。

常见问题解决

1. 时间同步问题

如果遇到Kerberos错误”Clock skew too great”，需同步时间：

ntpdate dc1.example.com

2. DNS解析失败

确保/etc/resolv.conf配置了正确的DNS服务器（通常是AD域控制器）。

3. Winbind服务启动失败

检查/var/log/messages中的错误信息，常见原因是Samba配置错误或网络不通。

高级配置（可选）

自动创建家目录

编辑/etc/pam.d/system-auth，在session部分添加：

session required pam_mkhomedir.so skel=/etc/skel umask=0022

限制域用户访问

在/etc/security/access.conf中添加规则，例如：

+ : EXAMPLE.COM\domain_users : ALL
- : ALL : ALL

结语

通过以上步骤，RHEL5系统已成功集成到Windows Active Directory环境中。这种集成使得企业可以： - 使用统一的账户管理系统 - 通过组策略（需额外配置）管理Linux系统 - 简化用户生命周期管理

对于更复杂的需求（如细粒度权限控制），建议考虑升级到更新的RHEL版本或使用第三方工具如SSSD（RHEL6+默认提供）。

注意：RHEL5已于2020年结束生命周期，建议尽快迁移到受支持的版本以获得安全更新和更好的AD集成功能。 “`

（全文约1300字）