如何将 UNAB 与 Samba 集成

UNAB 管理员可以管理 UNIX 端点的企业用户访问。 将 UNAB 与 Samba 集成以允许 Active Directory 域用户访问 UNIX 端点上的共享资源。
cminder12901cn
UNAB 管理员可以管理 UNIX 端点的企业用户访问。 将 UNAB 与 Samba 集成以允许 Active Directory 域用户访问 UNIX 端点上的共享资源。
Integrate UNAB with Samba
以下工作流提供了过程的概述:
2
注意:
您可以将 UNAB 和 Samba 配置为以任意顺序在同一端点上使用。
先决条件
将 UNAB 与 Samba 集成之前,请验证以下先决条件:
  • UNIX 端点上已安装 UNAB
  • UNIX 端点上已安装 Samba
注意:
请将 UNAB 和 Samba 安装在相同的 UNIX 端点上。
注册 UNIX 端点
在 Active Directory 中注册 UNIX 端点,以便 Active Directory 用户登录 UNIX 端点。
执行下列操作:
  1. 通过在
    sso
    模式下使用
    uxconsole
    实用工具将 UNIX 端点注册到 Active Directory:
    # <InstDir>/uxauth/bin/uxconsole -register [-d domain] [-v level] [-n] -sso
- register
在 Active Directory 中注册 UNIX 端点。
- d
定义 Active Directory 的域名。
- v
定义在安装过程中偏好的详细级别。
- n
指定在注册过程完成后不运行 uxauthd 代理。
-sso
指定 uxconsole 管理用于单点登录 (SSO) 的 Kerberos 文件。
您已经在
sso
模式下在 Active Directory 中注册 UNIX 端点。
示例:在 Windows 2008 Active Directory 域中注册 UNIX 端点
以下 uxconsole 实用工具将在
sso
模式下在 Windows 2008 Active Directory 中注册 UNIX 端点(如 UX 端点)。 Windows 2008 Active Directory 域名是 corp.example.co.il。 Kerberos 单点登录 (SSO) 服务会对用户进行一次身份验证。 用户可以使用相同的用户凭据登录多个 UNIX 端点。 详细级别设置为 3。 命令 -n 表示在注册过程完成后不运行 UNAB 代理。
# /<InstDir>/uxauth/bin/uxconsole -register -sso -n -v 3 -d corp.example.co.il
编辑 Samba 配置文件
添加 Kerberos 作为 Samba 配置文件中的身份验证方法。 Samba 使用 Kerberos 对 Active Directory 用户进行身份验证。
请按下列步骤操作:
  1. 打开 Samba 配置文件。
    # vi/etc/opt/Samba/smb.conf
  2. 在 smb.conf 文件中添加以下文本。
    kerberos method = system keytab
您已编辑 Samba 配置文件。
使用 Samba 加入域
使用 Samba 将 UNIX 端点加入 Active Directory 域。
请按下列步骤操作:
  1. 运行以下命令:
    # /opt/samba/bin/net ads join -U Administrator
    Join
    将 UNIX 端点加入 Active Directory 域。
    - U
    指定具有将 UNIX 主机添加到域的权限的域管理员。
  2. 启动 Samba。
    # /sbin/init.d/samba start
  3. 使用以下命令检查 UNIX 端点上的文件映射:
    # ls -l <path of the shared files on the UNIX endpoint>
  4. 通过从 Windows 计算机访问 UNIX 共享文件来检查 Windows 计算机中的文件映射。
您已使用 Samba 将 UNIX 端点加入 Active directory 域。
启动 UNAB
启动 UNAB 才能使 Active Directory 用户登录端点。
请按下列步骤操作:
  1. 使用超级用户身份登录到 UNIX 计算机。
  2. 找到 UNAB lbin 目录并运行以下命令:
    ./uxauthd.sh start
UNAB 后台进程启动。
激活 UNAB
在 UNIX 端点上激活 UNAB 才能使 UNAB 对 Active Directory 用户进行身份验证。
请按下列步骤操作:
  1. 以超级用户身份登录到 UNIX 端点。
  2. 导航到 UNAB bin 目录。 默认情况下该目录是:<InstDir>/uxauth/bin
  3. 运行以下命令:
    ./uxconsole -activate
    activate
    指定已为 Active Directory 用户激活登录。
您已在 UNIX 端点上激活 UNAB。
验证 UNAB 和 Samba 集成
现在,您将验证 UNAB 和 Samba 集成。
请按下列步骤操作:
  1. 检查 UNAB 状态。
    # /<InstDir>/uxauth/bin/uxconsole -status -detail
    示例:
    以下示例显示了样例输出。 在此处,我们认为 corp.example.co.il 域中的 Active Directory 用户可以访问 UX 端点上的共享文件。
    CA Access Control UNAB uxconsole v12.55.0.945 - console utility Copyright (c) 2010 CA. All rights reserved. Client's site - Default-First-Site-Name Registration domain - corp.example.co.il DCs - corpdc1, corpdc2 User search base - DC=corp,DC=example,DC=co,DC=il Group search base - DC=corp,DC=example,DC=co,DC=il UNAB mode - full integration UNAB status - activated Agent status - running, pid = 22967 FIPS only mode - no Kerberos configuration - standard Time sync - disabled Nested groups ACL - enable login by nested groups Enterprise policy - [email protected]#05 (updated: Sun May 6 10:08:17 2012) Local policy - disabled Default login access   - deny AD Unix users - 236 (updated: Sun May 6 09:55:41 2012) AD Unix groups - 101 (updated: Sun May 6 09:55:41 2012) AD Windows groups - 6339 (updated: Sun May 6 09:55:41 2012) Migration - not migrated CA Access Control - installed Include AD users and groups in AC ladb : yes Display AD names in AC Audit: no Support AD non-Unix groups in AC: yes PAM authentication in AC utilities: yes AC Watchdog monitors UNAB agent : yes
  2. 检查用户 tstuser。
    # id tstuser
您已将 UNAB 配置为可与 Samba 配合使用。 Active Directory 用户可以使用 Samba 登录到 UNIX 端点,并且可以访问共享资源。 Samba 使用 Kerberos 身份验证服务对用户进行身份验证。