ad1.***.corp: 是貴司windows ad上***.corp這個域的全域性主域控制器
loginno: 是貴司ad域***.corp中乙個組
admin.win: 是貴司ad域***.corp中的乙個具有管理員許可權的使用者
daha.ma: 是貴司ad域***.corp中的乙個普通使用者
sudono: 是貴司ad域***.corp中乙個組
***.corp: 是貴司windows ad上的主網域名稱
192.168.3.81
centos7:
yum -y install realmd sssd oddjob \
oddjob-mkhomedir adcli samba-common;
realm join ad1.***.corp -u admin.win; # 這裡需要輸入admin.win的密碼
realm permit -g loginno@***.corp; #這裡以允許loginno組為例
visudo
新增這麼一句:
%sudono@***.corp all=(all) all
sssd.conf
vim /etc/sssd/sssd.conf
修改兩句如下:
use_fully_qualified_names = false
fallback_homedir = /home/%u
重啟服務
systemctl restart sssd;
centos6:
yum -y install sssd oddjob oddjob-mkhomedir adcli samba-common authconfig;
adcli join ecwise.local -u sql01_admin; # 這裡需要輸入密碼
authconfig --enablesssd --enablesssdauth --enablemkhomedir --enablekrb5 --update;
yum install pam_krb5
service messagebus start;
chkconfig messagebus on;
service oddjobd start;
chkconfig oddjob on; # addjob用來自動建立使用者的家目錄
krb5.conf
vim /etc/krb5.conf
使得看起來像這樣:
[logging]
default = file:/var/log/krb5libs.log
kdc = file:/var/log/krb5kdc.log
admin_server = file:/var/log/kadmind.log
[libdefaults]
default_realm = ***.corp
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
***.corp =
[domain_realm]
.example.com = ***.corp
example.com = ***.corp
sssd.conf
vim /etc/sssd/sssd.conf
修改內容如下:
[sssd]
services = nss, pam, ssh, autofs
config_file_version = 2
domains = ***.corp
[domain/***.corp]
id_provider = ad
fallback_homedir = /home/%u
shell_fallback = /bin/bash
override_shell = /bin/bash
default_shell = /bin/bash
access_provider = ******
******_allow_groups = loginno
******_allow_users = daha.ma
chmod 600 sssd.conf
sudoer
visudo
新增這麼一句:
%sudono@***.corp all=(all) all
現在的情況將是:
除了loginno組和daha.ma以外其他域賬號不能登入
sudono組可以不用密碼通過sudo執行任何命令
重啟服務
systemctl restart sssd;
維護命令
id daha.ma@***.corp; # 從ad中獲取域使用者資訊
id daha.ma; # 在/etc/sssh/sssd.conf中設定了use_fully_qualified_names為false的可以直接用
adcli delete-computer --domain=***.corp -u admin.win ; # 退出ad域
常見問題:
不能加入域
1.當前面adcli join ******時如果出錯:
adcli: gssapi error: unspecified gss failure. minor code may provide more information (server not found in kerberos database)
的話,請嘗試修改/etc/krb5.conf,在[libdefaults]這個區塊下加一句:
rdns = false
然後重新再試,即可。
使用id查不到使用者,那麼在此加下域:
adcli join ecwise.local -u sql01_admin; # 這裡需要輸入密碼
驗證不通過:
key version number for principal in key table is incorrect
[root@cddevlnxvm03 etc]# klist -k
keytab name: file:/etc/krb5.keytab
kvno principal
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 host/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
2 restrictedkrbhost/[email protected]
在次加域,然後仍然輸入密碼無法登陸,這次提示如下:
access denied for user zdchen by pam account configuration
然後注釋掉這兩個檔案 system-auth/password-auth-ac的pam_krb5.so模組認證即可
瘦客戶端 胖客戶端 智慧型客戶端
胖客戶端模式將應用程式處理分成了兩部分 由使用者的桌面計算機執行的處理和最適合乙個集中的伺服器執行的處理。乙個典型的胖客戶端包含乙個或多個在使用者的pc上執行的應用程式,使用者可以檢視並運算元據 處理一些或所有的業務規則 同時提供乙個豐富的使用者介面做出響應。伺服器負責管理對資料的訪問並負責執行一些...
胖客戶端 瘦客戶端和富客戶端
以c s結構開發的網路應用程式,需要為客戶端開發專用的客戶端軟體,相對而言其客戶端比較龐大,在客戶端可以實現很多功能,分擔伺服器的負擔,屬於胖客戶端型別。以b s結構開發的web應用,其客戶端只是乙個瀏覽器,所有業務邏輯由伺服器端進行處理,相對而言客戶端比較瘦小,故稱為瘦客戶端。目前比較流行的一種開...
非同步客戶端和同步客戶端
先寫下我的理解,方便後邊閱讀資料校驗。一 同步客戶端 比如乙個連線有兩個請求,請求1 和 請求2,請求1 先發起請求,請求2後發起請求,則請求2 要等待請求1 響應完成才能接收到響應。舉個棗子,httpclient 傳送get請求,執行緒會一致阻塞,直到有響應結果。二 非同步客戶端 比如乙個連線有兩...