Winbind unifica la gestione degli account UNIX e Windows NT consentendo a una casella UNIX di diventare un membro completo di un dominio NT. Il servizio fornito da winbind daemon, è chiamato winbind e può essere utilizzato per risolvere informazioni su utenti e gruppi da un server Windows NT, il che lo rende comprensibile dalle piattaforme UNIX. Il servizio può anche fornire servizi di autenticazione tramite un modulo PAM associato. Il modulo pam_winbind supporta i tipi di modulo auth, account e password.
Il servizio winbind è fornito da samba-common pacchetto, come componente di samba.
Controllo del servizio
Per controllare immediatamente il servizio winbind, utilizzare l'utilità "service" o "systemctl":
# service winbind
Usage: /etc/init.d/winbind {start|stop|restart|reload|status|condrestart} Configurazione
1. Configura /etc/nsswitch
Il file /etc/nsswitch indica al sistema dove cercare password e gruppi, tra le altre cose. La definizione mostrata qui farà prima cercare nei file locali /etc/passwd e /etc/group, quindi userà winbind per interrogare Windows Server:
# /etc/nsswitch.conf ... passwd: files winbind shadow: files winbind group: files winbind ...
2. Aggiorna il file di configurazione PAM
In /etc/pam.d/system-auth , il file di configurazione dell'autenticazione PAM principale, sostituire le righe di autenticazione:
auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_winbind.so auth required /lib/security/pam_unix.so use_first_pass shadow nullok
con la riga sottostante:
account required /lib/security/pam_winbind.so
3. Entra nel Dominio
Per entrare a far parte del dominio, usa il programma net in questo modo:
# net join -S PDC -U Administrator
Il nome utente dopo -U può essere qualsiasi utente di dominio che dispone dei privilegi di amministratore sulla macchina. Sostituisci il nome o l'IP del tuo PDC/window Server con "PDC"
4. Modifica /etc/samba/smb.conf
Modifica /etc/samba/smb.conf in modo che contenga direttive come le seguenti:
# vi /etc/samba/smb.conf [global] winbind separator = + winbind cache time = 10 template shell = /bin/bash template homedir = /home/%D/%U idmap uid = 10000-20000 idmap gid = 10000-20000 workgroup = DOMAIN security = domain password server = *
5. Avvia il servizio windbind.
Avvia winbind e dovresti scoprire che il tuo database di utenti e gruppi è stato ampliato per includere i tuoi utenti e gruppi NT e che puoi accedere alla tua casella unix come utente di dominio, usando la sintassi DOMINIO+utente per il nome utente.
# service winbind start
Dopo aver avviato il servizio winbind, puoi controllare/ottenere informazioni dal demone winbind usando wbinfo strumento.
# wbinfo
Usage: wbinfo [OPTION...]
-u, --domain-users Lists all domain users
-g, --domain-groups Lists all domain groups
-N, --WINS-by-name=NETBIOS-NAME Converts NetBIOS name to IP
-I, --WINS-by-ip=IP Converts IP address to NetBIOS name
-n, --name-to-sid=NAME Converts name to sid
-s, --sid-to-name=SID Converts sid to name
-U, --uid-to-sid=UID Converts uid to sid
-G, --gid-to-sid=GID Converts gid to sid
-S, --sid-to-uid=SID Converts sid to uid
-Y, --sid-to-gid=SID Converts sid to gid
-A, --allocate-rid Get a new RID out of idmap
-c, --create-user=name Create a local user account
-x, --delete-user=name Delete a local user account
-C, --create-group=name Create a local group
-X, --delete-group=name Delete a local group
-o, --add-to-group=user:group Add user to group
-O, --del-from-group=user:group Remove user from group
-t, --check-secret Check shared secret
-m, --trusted-domains List trusted domains
--sequence Show sequence numbers of all domains
-D, --domain-info=STRING Show most of the info we have about the
domain
-r, --user-groups=USER Get user groups
--user-sids=SID Get user group sids for user SID
-a, --authenticate=user%password authenticate user
--set-auth-user=user%password Store user and password used by
winbindd (root only)
--get-auth-user Retrieve user and password used by
winbindd (root only)
-p, --ping Ping winbindd to see if it is alive
--domain=domain Define to the domain to restrict
operation