1. 场景介绍
场景以及环境信息参考中小企业用户认证及文件权限控制-最佳实践,即AD域控服务器和DNS已经搭建完成,文件存储NAS 挂载和ACL设置已经规划完成。本篇主要介绍如何将Linux终端加入到公司AD域中并实现文件权限管理。员工李响使用Linux终端,李响属于销售部。李响可以通过域名账户LiXiang@QIANXISHUIBENG.com登陆Linux终端。能访问销售部的共享目录,自己的主目录。不能查看和写入同部门其他同事目录。不能查看和写入其他部门目录。
ECS资源名 |
主机名 |
ECS名称 |
域控账户 |
ECS6 |
LiXiang |
LiXiang-pc |
LiXiang |
表1 资源名称
2. 资源规划
其他资源都参照中小企业用户认证及文件权限控制-最佳实践,新建的ECS5 资源规划如下。
ECS5 |
地域及可用区 |
华东1 可用区F |
ECS名称 |
LiXiang-pc |
|
主机名 |
LiXiang |
|
支付方式 |
根据需要选择预付费或后付费(本实践选择按后 付费–按量付费) |
|
实例规格 |
ecs.t5-c1m2.large (2c 4G) |
|
镜像 |
CentOS 8.4 64位 |
|
镜像版本 |
centos_8_4_x64_20G_alibase_20210623.vhd |
|
系统盘 |
Cloud_essd |
|
硬盘容量 |
40GiB |
|
登录密码 |
自定义 |
|
安全加固 |
Active |
表2 资源规划
操作步骤:
- 登陆ECS控制台。
- 创建ECS实例。
- 按照资源规划,填入或选择相应内容。
注意要选择同一VPC和VSwitch
动图1 创建ECS5
3. AD域控服务器配置用户和用户目录
李响是一名新员工,那么技术信息部王刚需要先在AD域控服务器上新增李响用户,并且将李响添加到销售组SalesGroup中。同时给李响创建个人的主目录。
操作步骤
- 以Administrator的身份登入域控服务器。
- 在AD管理中心添加Lixiang用户并设置主目录。
- 在AD管理中心将Lixiang加入到SalesGroup中。
- 用文件资源管理器在SalesGroup中创建LiXiang个人主目录。
动图2 在AD域控服务器上设置用户
4. Linux 终端设置 AD 域
对李响的 Linux 终端进行 AD 域配置。不同于Windows操作系统,Linux操作系统默认不支持AD域操作。Linux客户端需要安装一系列软件支持AD域身份认证等相关操作。
操作步骤
- 以root用户登陆Linux终端
- 安装软件
sudo yum update
sudo yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python-utils -y
- 配置服务器名字
AD域名是qianxishuibeng.com。
将机器名配置成:
sudo hostnamectl set-hostname LiXiang.qianxishuibeng.com
- 配置DNS
将AD域服务起的IP加入到/etc/resolv.conf中,删除默认的DNS服务器。
验证能ping到qianxishuibeng.com。
- 配置Kerberos
Centos需要进行单独/etc/krb5.conf配置,在/etc/krb5.conf中加入
default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
- 发现AD域
sudo realm discover qianxishuibeng.com
- 加入AD域
sudo realm join -U Administrator qianxishuibeng.com
- 确认已经加入AD域
sudo realm list
- 确认AD域用户能够被正常识别
可以通过id命令确认域用户来确认加入域成功。
id LiXiang@qianxishuibeng.com
具体操作如下:
动图3 Linux 端设置AD域
5. 配置AD用户登陆信息
操作步骤
- 给Linux终端配置用户登录的权限
允许LiXiang用户的登录权限。
sudo realm permit LiXiang@qianxishuibeng.com
允管理用户组的登录权限。
sudo realm permit -g 'Domain Admins'
- 配置Sudo权限
配置sudo权限配置文件
sudo vim /etc/sudoers.d/domain_admins
添加单个用户权限
LiXiang@qianxishuibeng.com ALL=(ALL) ALL
# 示例userb2@example-company.com ALL=(ALL) ALL
添加组权限
%ITGroup@qianxishuibeng.com ALL=(ALL) ALL
- 测试域用户ssh登录
如果机器没有配置ssh登录则需要修改ssh配置
修改/etc/ssh/sshd_config中的这行:
PasswordAuthentication no
为:
PasswordAuthentication yes
然后重启sshd
CentOS用以下命令:
sudo service sshd restart
用AD域用户身份登录机器
ssh localhost -l LiXiang@qianxishuibeng.com
具体操作动图如下
动图4 Linux客户端设置AD域登陆信息
6. 配置手动挂载 SMB 文件系统
公司为李响提供一个大容量的存储空间,以便于员工存放比较大的文件。共享存储第一次需要信息技术部同事配置,手动挂载SMB 文件系统只需要进行一次,验证连通性即可。后期通过自动挂载的方式实现李响的终端访问共享存储。
操作步骤
- 安装软件包
sudo yum install keyutils cifs-utils
- 执行挂载
域用户身份登录Linux后,用klist命令查看登录后的keytab信息。(见动图)
用id命令查看uid、gid,将看到的uid、gid填入下面手动挂载命令:
sudo mount -t cifs //file-system-id.region.nas.aliyuncs.com/myshare /mnt -o vers=2.1,sec=krb5,cruid=371801107,uid=371801107,gid=371800513 --verbose
其中file-system-id.region是中小企业用户认证及文件权限控制-最佳实践创建的文件存储NAS的ID,6.2.2小节都有描述获得方法。
file-system-id.region |
026054b451-jvn5.cn-hangzhou |
- 查看挂载是否成功
使用df -Th 命令即可查看是否挂载成功
图5 Linux客户端设置手动挂载SMB文件系统
7. 配置自动挂载SMB文件系统
- 安装需要的包并设置开机启动
sudo yum install autofs
sudo systemctl enable autofs
- 配置自动挂载脚本
修改/etc/auto.master增加一行:
/share /etc/auto.cifs --timeout=30 --ghost
编辑/etc/auto.cifs内容,如下,其中file-system-id.region是中小企业用户认证及文件权限控制-最佳实践创建的文件存储NAS的ID,6.2.2小节都有描述获得方法。
vim /etc/auto.cifs
* -fstype=cifs,vers=2.1,sec=krb5,cruid=${UID},uid=${UID},gid=${GID},file_mode=0700,dir_mode=0700 ://file-system-id.region.nas.aliyuncs.com/myshare/&
参数说明:当用户进入到/share/<dir_name>目录时,系统会自动挂载//file-system-id.region.nas.aliyuncs.com/myshare/<dir_name>到/share/<dir_name>。
- 确认/etc/auto.master和/etc/auto.cifs都是0644的权限。
ls -l /etc/auto.master
ls -l /etc/auto.cifs
- 重启Linux终端,在域用户登录后,ls /share/SalesGroup,就能够看到SMB文件系统目录SalesGroup下的内容。
sudo ls /share/SalesGroup
sudo df -Th
注意 在AD域控服务器上创建的//file-system-id.region.nas.aliyuncs.com/myshare/SalesGroup目录,LiXiang要有ls权限。
动图6 Linux客户端设置自动挂载SMB文件系统
8. 场景验证
李响可以通过域名账户LiXiang@QIANXISHUIBENG.com登陆Linux终端。
能访问销售部的共享目录,自己的主目录。
不能查看和写入同部门其他同事目录。
不能查看和写入其他部门目录。
操作步骤
- 登陆ECS控制台,连接到ECS5,使用LiXiang@qianxishuibeng.com登陆。
- 运行 ls /share/SalesGroup目录,触发自动挂载条件。
- 进入到SalesGroup,分别在LiXiang主目录和SharedSales目录查看和创建文件。
- 进入到LiDa和LiEr目录,查看文件。
- 进入到/Share目录,查看是否有其他部门目录。
动图7 预设场景验证
9. 参考链接
Linux客户端以AD域用户身份挂载并使用阿里云SMB协议文件系统
企业级客户使用阿里云文件存储NAS SMB配置Home Directory服务指南
10. 文档版本
版本编号 |
日期 |
作者 |
审核人 |
说明 |
v1.0 |
20210901 |
岩叶 |
文档创建 |
|
v1.1 |
20210902 |
岩叶 |
孟威 |
去除视频无效音频 |
