linux搭建ad域

在企业中，AD（Active Directory）是用于管理用户、计算机和其他资源的核心组件。虽然Windows Server是主要的AD实现，但许多企业希望使用开源技术来搭建AD域。本文将介绍如何在Linux上搭建AD域以及其优缺点。

1. 搭建环境

在开始之前，需要准备一台Linux服务器和一个Windows域控制器（DC）。Linux服务器可以安装CentOS、Ubuntu等。Windows DC可以是Windows Server 2008及以上版本。

2. 安装Samba

Samba是一个开源软件套件，可以实现文件和打印机的共享以及用户和计算机的身份验证。在Linux服务器上安装Samba：

```

sudo apt-get install samba

```

3. 设置Samba配置文件

编辑Samba配置文件/etc/samba/smb.conf，在文件末尾添加以下内容：

```

[global]

workgroup = MYDOMAIN # 填入Windows DC的域名

security = ads

realm = MYDOMAIN.COM # 填入Windows DC的完全限定域名（FQDN）

encrypt passwords = yes

# 替换成自己的Windows DC的IP，可以指定多个

password server = 192.168.1.100

# 需要与Windows DC的互信关系中指定的全局安全组名称一致

idmap config * : backend = tdb

idmap config * : range = 2000-9999

# 绑定 Kerberos

kerberos method = secrets and keytab

```

4. 加入AD域

输入以下命令加入AD域：

```

sudo net ads join -U administrator

```

其中administrator是Windows DC的管理员用户名。执行命令后会要求输入管理员密码。如果提示“New SMB password”和“Retype new SMB password”，则需要输入Linux服务器的Samba密码。

加入AD域后，可以使用以下命令来验证：

```

wbinfo -u

```

如果成功，将会罗列AD域中所有用户名。

5. 配置SSH身份验证

在Linux服务器上，可以使用Kerberos身份验证进行SSH身份验证，避免输入密码。首先需要使用以下命令安装Kerberos：

```

sudo apt-get install krb5-user libpam-krb5

```

然后将以下内容添加到文件/etc/ssh/sshd_config的末尾：

```

KerberosAuthentication yes

KerberosTicketCleanup yes

GSSAPIAuthentication yes

GSSAPIKeyExchange yes

UsePAM yes

```

最后，重启SSH：

```

sudo systemctl restart ssh

```

现在，可以使用以下命令通过Kerberos进行SSH登录：

```

ssh -l username myserver.mydomain.com

```

其中username是AD域中的用户名。

6. 优缺点

使用Linux搭建AD域的优势之一是成本，因为许多开源软件是免费的。此外，这种方式可以将企业的技术环境标准化，使用单一的技术栈，减少混乱和杂乱。

然而，使用Linux搭建AD域也存在一些缺点。例如，它可能不支持某些AD特性，如Microsoft Exchange等。此外，在运行期间可能存在兼容性问题，这可能会导致问题的出现，例如脚本无法运行或无法访问文件。

总之，Linux搭建AD域是一个有价值的选择，需要权衡其优缺点，确定最适合企业的解决方案。