說明：本人也是從網(wǎng)上東拼西湊找來的教程，自己一遍遍測試過，得出的結(jié)論，讓大家可以避免很多坑，還要感謝那些原創(chuàng)的大神們。

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：成都網(wǎng)站建設(shè)、網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的岐山網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

一．公司網(wǎng)絡(luò)環(huán)境介紹：

1. H3C MSR路由器通過G0/2口連接外網(wǎng)，固定公網(wǎng)IP地址：111.198.18.XX

2. PDC域服務(wù)器（也是DNS服務(wù)器）10.1.0.1

BDC備份域服務(wù)器10.1.0.5

3. PPTPD 虛擬專用網(wǎng)絡(luò)服務(wù)器，通過vSphere Esxi服務(wù)器創(chuàng)建虛擬機：

Centos 7.7 1908，內(nèi)網(wǎng)地址10.1.0.24

4. 驗證客戶端Windows7。

二．通過Samba+Winbind服務(wù)將Centos加入到AD域：

1. 基礎(chǔ)環(huán)境準(zhǔn)備：

⑴ 修改網(wǎng)卡信息，添加DNS地址，就是域地址：

#vim /etc/sysconfig/network-scripts/ifcfg-ens192

⑵ 修改selinux：#vim /etc/sysconfig/selinux

立刻生效：#setenforce 0

⑶ 防火墻暫時關(guān)閉，后續(xù)需要開啟：

#systemctl stop firewalld && systemctl disable firewalld

2. Yum安裝Samba所需軟件（預(yù)先配置好阿里yum源，此處略過）：

#yum -y install pam_krb5* krb5-libs* krb5-workstation* krb5-devel*? samba samba-winbind* samba-client* samba-swat* ntpdate*

安裝完成后，開啟相關(guān)服務(wù)：

#systemctl restart smb nmb ; systemctl restart winbind

3. 與AD域時間同步：

#ntpdate 10.1.0.5

4. 相關(guān)配置：

⑴ 修改smb.conf，只修改、添加全局設(shè)置；

#vim /etc/samba/smb.conf

[global]
??????? workgroup = TEST
??????? realm = TEST.COM
??????? security = ads
??????? idmap config * : range = 16777216-33554431
??????? template shell = /bin/bash
??????? template homedir = /home/%D/%U
??????? winbind enum users = yes
??????? winbind enum groups =yes
??????? winbind use default domain = true
??????? winbind offline logon = true
??????? server string = pptpd server
??????? log file =/var/log/samba/log.%m
??????? max log size = 50
??????? passdb backend = tdbsam
??????? encrypt passwords = yes
??????? printing = cups
??????? printcap name = cups
??????? load printers = yes

⑵ 修改nsswitch.conf；

#vim /etc/nsswitch.conf

⑶ 修改krb5.conf；

#vim /etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]

default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = TEST.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
? TEST.COM = {
?? kdc = 10.1.0.1
?? admin_server = 10.1.0.1
? }
[domain_realm]
.example.com = TEST.COM
? example.com = TEST.COM

5. 加入AD域：

#net ad join -Uadministrator

加入后，重啟以下服務(wù)（此處需要注意，服務(wù)最好不要一起重啟，單個重啟，否則可能會報錯）：

#systemctl restart smb

#systemctl restart winbind

6. 測試winbind服務(wù)：

#wbinfo -t //測試通信成功與否，信任關(guān)系是否建立

#wbinfo -u //測試域用戶賬號是否同步

#wbinfo -g //測試域組信息是否同步

7. 測試kerberos服務(wù)：

#kinit ***test1 //測試用戶

8. 如果加入域有報錯，可以嘗試以下命令：

⑴ 先清理緩存：

# rm -rf /var/lib/samba/private/secrets.tdb

# rm -rf /var/lib/samba/gencache.tdb

⑵ samba退出域：

#net ads leave -Uadministrator

9. 防火墻配置命令：

#systemctl restart firewalld ; systemctl enable firewall

#firewall-cmd --permanent --add-service=samba //添加samba服務(wù)

#firewall-cmd –reload

10. 常用命令：

⑴ 重載smbd、nmbd、winbindd的配置，請將reload-config消息類型發(fā)送到all目標(biāo)：

#smbcontrol all reload-config

⑵ 測試samba配置參數(shù)：

#testparm /etc/samba/smb.conf

⑶ 加入AD域命令：

#net ads join -U "DOMAIN\administrator"

三．通過PPTPD搭建服務(wù)器：

1. PPTPD服務(wù)端安裝：

⑴ 檢查服務(wù)器端系統(tǒng)版本：

#cat /etc/redhat-release

⑵ 檢查IP地址信息：

#ip addr

⑶ 檢查PPP是否開啟：

#cat /dev/ppp

#modprobe ppp-compress-18 && echo ok

⑷ 安裝PPP：

#yum install -y ppp

⑸ 安裝PPTPD：

① 安裝wget:

#yum install -y wget

② 添加EPEL源：

#wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

③ 安裝EPEL源：

#rpm -ivh epel-release-latest-7.noarch.rpm

④ 檢查源：

#yum repolist

⑤ 更新源列表：

#yum -y update

⑹ 設(shè)置虛擬專用網(wǎng)絡(luò)內(nèi)網(wǎng)IP地址段：

#vim /etc/pptpd.conf

將以下兩行前面的#號刪掉，配置虛擬專用網(wǎng)絡(luò)內(nèi)網(wǎng)的IP段，也可自行設(shè)置

localip 10.1.0.24 //虛擬專用網(wǎng)絡(luò)服務(wù)器內(nèi)網(wǎng)IP地址

remoteip 10.1.2.100-150 //虛擬專用網(wǎng)絡(luò)連接IP地址段

⑺ 配置opptions.pptpd：

#vi /etc/ppp/options.pptpd

① 修改DNS（阿里DNS）：

ms-dns 233.5.5.5

ms-dns 233.6.6.6

② 修改日志存放位置：

nologfd

logfile /var/log/pptpd.log

③ 加載AD驗證模塊，此處用于AD域賬號認(rèn)證，非常重要，復(fù)制到相應(yīng)位置：

plugin winbind.so

ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"

⑻ 設(shè)置虛擬專用網(wǎng)絡(luò)本地賬號（適合沒有AD域環(huán)境的網(wǎng)友，因為我們用AD域賬號登錄虛擬專用網(wǎng)絡(luò)，此處不用設(shè)置）：

# vim /etc/ppp/chap-secrets

用戶 ?協(xié)議 ?密碼 ?IP規(guī)則

***user1 pptpd 123 * //*代表任意IP連接虛擬專用網(wǎng)絡(luò)都可以

⑼ 添加轉(zhuǎn)發(fā)策略：

在最下面添加：net.ipv4.ip_forward=1

#vim /etc/sysctl.conf

net.ipv4.ip_forward=1

#sysctl -p //輸入命令，使其生效

⑽ 修改防火墻規(guī)則：

創(chuàng)建規(guī)則文件，并添加如下規(guī)則：

#touch /usr/lib/firewalld/services/pptpd.xml

#vim /usr/lib/firewalld/services/pptpd.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

<short>pptpd</short>

<description>PPTP</description>

<port protocol="tcp" port="1723"/>

</service>

#systemctl? restart firewalld //重啟防火墻

① 添加服務(wù)：

#firewall-cmd --permanent --zone=public --add-service=pptpd

② 允許防火墻偽裝IP：

#firewall-cmd --add-masquerade

③ 開啟 47和1723端口：

#firewall-cmd --permanent --zone=public --add-port=47/tcp

#firewall-cmd --permanent --zone=public --add-port=1723/tcp

④ 允許grep協(xié)議：

#firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT

#firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p gre -j ACCEPT

⑤ 設(shè)置規(guī)則允許數(shù)據(jù)包由eth0 和ppp+接口中進(jìn)出（此處注意自己網(wǎng)卡名稱）：

#firewall-cmd --permanent --direct --add-rule ipv4 filter ?FORWARD 0 -i ppp+ -o eth0 -j ACCEPT

#firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o ppp+ -j ACCEPT

⑥ 設(shè)置轉(zhuǎn)發(fā)規(guī)則，從源地址發(fā)出的所有包進(jìn)行偽裝，改變地址，由eth0發(fā)出：

#firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o eth0 -j MASQUERADE -s 10.1.2.0/24

⑾ 開啟轉(zhuǎn)發(fā)規(guī)則：

轉(zhuǎn)發(fā)規(guī)則有兩種，在此我使用的是OpenVZ架構(gòu)，在命令終端輸入第二條命令：

① XEN架構(gòu)：

#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -o eth0 -j MASQUERADE

② OpenVZ架構(gòu)：

#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-source 111.198.18.XX???

//虛擬專用網(wǎng)絡(luò)公網(wǎng)IP 要換成你服務(wù)器的IP 比如 111.198.18.XX

⑿ 編輯rc.local文件，添加轉(zhuǎn)發(fā)規(guī)則：

① 給rc.local執(zhí)行權(quán)限：

#chmod +x /etc/rc.d/rc.local

② 編輯rc.local文件：

在此使用的OpenVZ架構(gòu)：

#vim /etc/rc.d/rc.local

iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-source 111.198.18.XX

#systemctl restart rc-local

⒀ 重啟服務(wù)，并設(shè)置開機啟動：

#systemctl restart pptpd ; systemctl enable pptpd

#firewall-cmd –reload

⒁ 查看PPTPD服務(wù)：

#ps -aux |grep pptpd

2. H3C MSR36-20路由器設(shè)置NAT端口映射（其他品牌自行百度）：

[H3C]sys

[H3C]interface GigabitEthernet 0/2

[H3C]nat server protocol tcp global 111.198.18.XX 1723 inside 10.1.0.24 1723

[H3C]exit

[H3C]save f

[H3C]dis nat all //查看所有nat

四. 客戶端虛擬專用網(wǎng)絡(luò)連接測試（此處略過配置過程，上一些測試圖片）：

通過虛擬專用網(wǎng)絡(luò)連接，可以連接網(wǎng)盤，PING通DC主機。

網(wǎng)站名稱：Centos7.7PPTPD虛擬專用網(wǎng)絡(luò)搭建+Samba+Winbind集成AD域認(rèn)證
轉(zhuǎn)載源于：http://aaarwkj.com/article32/jjgpsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供外貿(mào)網(wǎng)站建設(shè)、移動網(wǎng)站建設(shè)、App開發(fā)、商城網(wǎng)站、用戶體驗、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)