一、前言

在企业的IT环境中，通常既有windows也有unix/linux服务器，传统情况下，每一台机器有自己的帐号和密码，对用户和管理员来说，要记住自己在N台机器上的账号、密码密码是件超级麻烦和恶心的事情，因此我们需要一个集中的、支持异构系统的身份管理解决方案。

Win/linux的身份整合方案大多数人会想到samba+winbind，但这是一个费力而效果不是很理想的方案，微软在Windows 2003 R2上集成了基于活动目录的Identity Management for UNIX，该组件提供Windows域用户的UNIX账号属性，因此我们在Linux系统上不需要winbind就能实现域用户的LDAP身份验证了。

如果您想要基于Linux充当服务器其他win/linux机器充当客户端的方案，我暂时还不知道，但无论如何不建议使用samba(PDC)+winbind。

在实施本方案前，请先了解什么是LDAP，什么是AD，什么是ObjectClass，什么是DN，知道ldapsearch的用法，了解这些有助于诊断在实施过程中遇到的问题。

二、Windows 2003 Server R2安装与配置

在开始之前，需要注意一件事：从windows 2003 Server R2开始才有Identity Management for UNIX。安装完Windows 2003 R2之后，必须给网卡配置一个静态IP和指定DNS。接下来，我们需要配置域控制器和AD,打开 开始->管理工具->配置您的服务器向导

选择配置”域控制器(Active Directory)“，接下一步

 以上只是启用和配置了域控制器，第二步是安装Active Directory Services，进入控制面板->添加删除程序->添加删除Windows组件，出现如下

把Active Directory 服务打钩，接着出错提示，选择是，别管太多。

运行Microsoft Identity Management for UNIX

    选择Password Synchronization的属性

在出现的对话框中，把UNIX to Computers that run on Windows勾上，下面的port Number不改，一定要点New Key。

    

        还是在上述对话框中，选择Configuration标签，把最后一项,Enable Windows to NIS(AD) Password Sync打钩。

以上是密码同步属性配置，第三步是创建域用户和组：

首先，需要把Domain Users用户组的UNIX账号属性打开

选择UNIX Attributes标签，选择NIS Domain为myad，GID为10000

接下来我们才能创建一个可以打开UNIX属性的域用户

在本例中，创建的用户登录名为helloworld

完成后，回去看helloworld的用户属性，能够看到标签页UNIX Attributes

设置helloworld用户的UNIX账号属性

为了能让用户从客户端登录，必须重置密码，至此Windows AD端配置完成

三、Linux客户端的配置与测试

1、RHEL 5.5篇

(1)首先确保如下有关LDAP的组件已经安装(32bit版的略有不同)

(2)接下来，编辑/etc/hosts文件，加入adserver.myad.com的IP解析，或者也可以编辑/etc/resolv.conf文件指定namesever为adserver.myad.com的IP地址。

(3)第三步，编辑/etc/nsswitch.conf文件，把passwd,shadow,group的查找指定如下图：

(4)第四步，编辑/etc/openldap/ldap.conf文件，内容如下：

URI ldap://adserver.myad.com

BASE dc=myad,dc=com

(5)第五步，编辑/etc/ldap.conf文件，在编辑之前，首先把自带的备份。新建的/etc/ldap.conf文件内容如下

为了安全起见，不使用Administrator来查询，而是创建一个adbind域用户，并加入Domain User、Account Operator组, 如果不加入Account Operator组，用ldapsearch查询DN无法获取unixUserPassword属性值。

上图中的cn=adbind,cn=users,dc=myad,dc=com是查询用户/组账号的LDAP用户DN。

(6) 关闭nscd服务以避免信息缓存的影响

# chkconfig nscd off

# service nscd stop

(7)验证是否已经成功配置AD域验证UNIX/Linux用户

执行如下命令：

[root@rhcs1 ~]# id helloworld

uid=10000(helloworld) gid=10000(Domain Users) groups=10000(Domain Users)

[root@rhcs1 ~]# getent group | grep 'Domain Users'

Domain Users:*:10000:

如果能够看到账户和组的信息，说明身份能够获取，只是身份信息能够获取，我们还需要测试一下登录。在第一次登录之前，helloworld在当前机器的家目录没有创建，其他没有登录的域用户也是一样，为了在第一次登录时自动创建家目录，需要配置一个文件/etc/pam.d/system-auth，在末尾加上一行：

session     optional   pam_mkhomedir.so

现在首先测试ssh登录本地来验证ssh服务

接下来测试从本地键盘登录：

2、SLES 11 SP1篇

        (1)检查LDAP组件是否已经安装

(2)修改/etc/pam.d/common-session，加入一行

session     optional   pam_mkhomedir.so

(3)以下配置文件与RHEL 5.5的配置相同

/etc/nsswitch.conf

/etc/ldap.conf

/etc/openldap.conf

(4)SLES 11 SP1的系统服务启动顺序有些问题，缺省先启动dbus再启动network，这会造成一个阻塞：dbus试图去查找passwd,group信息，而这时nss_ldap会因为network服务没有启动而一直不断尝试连接AD服务器，系统启动到dbus就会挂住。所以我们要分别到/etc/init.d/rc3.d和/etc/init.d/rc5.d下把dbus,network服务改成如下顺序：

lrwxrwxrwx 1 root root 10 Jul 20 03:54 S00network -> ../network

lrwxrwxrwx 1 root root  7 Jul 20 03:52 S01dbus -> ../dbus

lrwxrwxrwx 1 root root  7 Jul 20 03:56 K07dbus -> ../dbus

lrwxrwxrwx 1 root root 10 Jul 20 03:56 K08network -> ../network

（5）关闭nscd服务以避免信息缓存的影响

# chkconfig nscd off

# service nscd stop

(6)SLES 10的配置方法同上

(7)SLES 9的配置方法基本和SLES 10/11一样，但要修改两个文件成如下内容：

/etc/pam.d/login

/etc/pam.d/sshd

四、配置使用web修改域用户密码

Linux客户端上的passwd命令还不能修改域用户的密码，因为域用户的密码会涉及三种加密方式：windows系统密码，NTLM密码，UNIX密码。Windows 2003 R2包含了修改域用户密码的web程序，以下是该程序的配置步骤。

1、安装远程管理组件，从控制面板->添加删除程序->添加Windows组件选择“应用程序服务器”，然后在详细信息里依次选择如下图组件：

2、打开IIS管理器

3、新建虚拟目录

4、输入虚拟目录的别名

5、输入虚拟目录的本地路径

6、查看虚拟目录的属性

7、启用默认内容文档

8、打开设置页面修改密码