解决Linux系统中域用户登陆问题的方法 (域用户不能登陆linux)

在企业领域中,LDAP等目录服务已经成为了管理用户的标准解决方案。与此同时,Linux系统成为了优秀的服务器操作系统之一,因为它具有高度的稳定性、可靠性和安全性。为了将这两个技术整合起来,管理员希望能够将Linux系统作为LDAP目录中用户的终端,以方便管理。但是,在实践中,管理员总是会遇到各种问题,其中最常见的问题就是域用户无法登录Linux系统。本文将讲解如何。

网站建设哪家好,找成都创新互联公司!专注于网页设计、网站建设、微信开发、小程序设计、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了虞城免费建站欢迎大家使用!

一、概述

1.1 什么是域用户?

域用户是指从域控制器(域LDAP)数据库中获取用户账号信息的用户。域用户使用的密码是在域控制器中存储的,而不是在本地Linux系统中存储的。

1.2 什么是Linux系统中的用户账号?

Linux系统中的用户账号是指在本地Linux系统中定义的用户账号,密码也在本地Linux系统中存储。Linux系统中的本地用户可以与域用户同时存在。

1.3 什么是Linux系统中的认证机制?

Linux系统中的认证机制指的是在用户登录时将用户提供的用户账号和密码与本地系统存储的用户账号和密码进行比对,以确定是否具有登录权限。

二、域用户配置

管理员需要在Linux系统中配置LDAP目录的相关设置,这样才能将Linux操作系统作为LDAP目录的客户端。您需要配置的配置文件是/etc/nsswitch.conf和/etc/pam.d/system-auth文件。

2.1 配置/etc/nsswitch.conf文件

在/etc/nsswitch.conf文件中,管理员需要配置Linux系统如何查找用户信息。默认情况下,当Linux系统查找用户信息时,它会首先查找本地文件,然后才会查找LDAP目录中的信息。管理员需要确保Linux系统首先查找LDAP目录,才能找到域用户信息。

打开/etc/nsswitch.conf文件,确认以下行在其中:

passwd: files ldap

shadow: files ldap

group: files ldap

2.2 配置/etc/pam.d/system-auth文件

管理员需要编辑/etc/pam.d/system-auth文件以配置Linux系统的认证机制。在系统-auth文件中,管理员需要确保PAM与LDAP目录进行通信,并检查用户的认证信息。

打开/etc/pam.d/system-auth文件,将以下行添加到文件末尾:

auth sufficient pam_ldap.so use_first_pass

auth required pam_unix.so nullok_secure try_first_pass

account sufficient pam_ldap.so

account required pam_unix.so

password sufficient pam_ldap.so

password required pam_unix.so nullok md5 shadow use_authtok

三、测试

完成配置后,管理员需要测试域用户登录Linux系统的功能。

3.1 确认配置是否正确

运行以下命令以测试当前配置是否正确:

getent passwd domnuser

其中domnuser为您正在测试的用户账号名称。如果此命令返回域用户信息,则表示配置正确。

3.2 进行登录测试

使用域用户登录Linux系统。在登录时,确保使用“DOMN\username”的格式。如果用户无法登录,则可能存在以下问题:

– Linux系统不能访问LDAP服务器。

– 本地系统密码不同步导致用户密码不正确。

– 域用户账号被禁用或过期。

– 其他用户认证过程中的问题。

管理员应检查系统日志以检查系统错误,以及用户输入的密码和用户名是否正确。

通过将Linux系统配置为LDAP目录中用户的终端,管理人员可以极大地简化用户管理和授权过程。但是,在实践中,将Linux系统与LDAP目录进行整合时,管理员往往会遇到各种问题。因此,在配置Linux系统以允许域用户登录之前,管理员应该充分了解Linux系统和LDAP目录,并采取适当的预防措施,以确保系统不出现任何问题。

相关问题拓展阅读:

  • 局域网中xp如何访问linux
  • Windows登录linux samba服务器时提示“无法访问”,是什么原因?
  • 怎么实现当域客户端访问linux共享文件服务器时不需要输入帐号密码呢,没加入域的客户端访问则需要提供帐户

局域网中xp如何访问linux

你一定要在linux上设置SAMBA的用户名和密码。网上找找相关资料。

1.把XP的防火墙关指厅了

2..开启GUEST用户,方法:

右键点“我的电脑”-点“管理”-点”本地用户和组”-点“用户”-双击右边的“GUEST”逗正-把“账户已经停用”山逗悔的钩去掉。

Windows登录linux samba服务器时提示“无法访问”,是什么原因?

原因和解决方式如下:

可以登禅巧录samba服务器,但是没有权限访问linux下的共享目录

1、确保linux下防火墙关闭或者是开放共享目录权限 iptalbes -F

2、确保samba服务器配置文件b.conf设置没有问题,可网上查阅资料看配置办法

3、确保setlinux关闭,可以用setenforce 0命令执行。 默认的,SELinux禁止网络上对Samba服务器上的共享目录进行写操作,即使你在b.conf中允许了这项操作。

这两个命令必须执行:

iptables -F

setenforce 0:

补充说明:

1、Samba是在Linux和UNIX系统上实现B协议的一个免费软件,由服务器及客户端程序构成。B(Server Messages Block,信息服务块)是一种在局域网槐铅上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。B协议是客户机/服务器型协议,客户机通过贺明键该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置”NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享。资源。

2、应用功能:

由上面说明的 SAMBA 发展缘由,可以看出, SAMBA 最初发展的主要目就是要用来沟通Windows 与 Unix Like 这两个不同的作业平台。更大的好处就是不必让同样的一份数据放置在不同的地方,搞到后来都不晓得哪一份资料是最新的!而且也可以透过这样的一个档案系统让Linux 与 Windows 的档案传输变得更为简单!也就是说,可以透过『网络上的芳邻』来进行Linux 与 Windows 档案的传输。那么 SAMBA 可以进行哪些动作呢?

①分享档案与打印机服务;

②提供使用者登入 SAMBA 主机时的身份认证,以提供不同身份者的个别数据;

③进行 Windows 网络上的主机名称解析 (NetBIOS name)

④进行装置的分享 ( 例如 Zip, CDROM… )

怎么实现当域客户端访问linux共享文件服务器时不需要输入帐号密码呢,没加入域的客户端访问则需要提供帐户

解答一:

不使用share安全级别,你可以贺悔尝试使用samba的别名机制,通过修改busers名称映射文件来实现,肆拍液在文件中设置访问的windows用户映射的samba用户账号即可。

应该可以实现你需要的效果。

解答二:

你可以尝试使用samba做主域控制器。看可以不。网上有很多资料,我早前做裂物过,步骤基本上不记得了!

登陆同一个域后可以在sambd服务器下直接访问。

在WINDOWS平台下域的安装配置:

把一台成员服务器提升为域控制器(一)

目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:

本篇文章中所有的成员服务器均采用微软的Windows Server 2023,客户端则采用Windows XP。

首先,当然是在成员服务器上安装上Windows Server 2023,安装成功后进入系统,

我们要做的之一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:

机器名:Server

IP:192.168.5.1

子网掩码:255.255.255.0

DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)

由于Windows Server 2023在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:

向下搬运右边的滚动条,找到“网络服务”,选中:

默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:

然后就是点“轮则确定”,一直点“下一步”就可以完成整个DNS的安装弯桐哗。在整个安装过程中请保证Windows Server 2023安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。

安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”

在这里直接点击“下一步”:

这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2023的域控制器,我建议大家尽量采用Windows 2023及以上的操作系统来做为客户端。然后点击“下一步”:

在这里由于这是之一台域控制器,所以选择之一项:“新域的域控制器”,然后点“下一步”:

既然是之一台域控,那么当然也是选择“在新林中的域”:

在这里我们要指定一个域名,我在这里指定的是demo.com,

这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。

在这里志要指定AD数据库和日的存放位置,如果不是C盘的空间有问题的话,建议采用默认。

这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:

之一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因埋行为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。

“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2023或Window 2023操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows 2023以前的操作系统存在”

这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。

这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:

几分钟后,安装完成:

点完成:

点“立即重新启动”。

然后来看一下安装了AD后和没有安装的时候有些什么区别,首先之一感觉就是关机和开机的速度明显变慢了,再看一下登陆界面:

多出了一个“登陆到”的选择框:

进入系统后,右键点击“我的电脑”选“属性”,点“计算机”

怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后的文章里讲述,这里就不再详谈了。

把一台成员服务器提升为域控制器(二)

在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域。

由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:

先来新建一个用户,展开“demo.com”,在“Users”上击右键,点“新建”-“用户”:

然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。

这样点“下一步”,直到完成,就可以完成用户的创建。然后在“demo.com”上点击右键,先择“委派控制”:

就会出现一个“委派控制向导”:

点击“下一步”:

点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:

然后点“确定”:

再点“下一步”:

在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:

最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。

接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,我们先来设置一下这台XP的网络:

计算机名:TestXP

IP:192.168.5.5

子网掩码:255.255.225.0

DNS服务器:192.168.5.1,

设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。

在这里把“隶属于”改成域,并输入:“demo.com”,并点确定,这是会出现如下画面:

输入刚刚在域控上建的那个“swg”的帐号,点确定:

出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登陆画面有没有什么不一样:

看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:

看到用黑框标出来的地方和没有加入到域的时候的区别的吧?

当把下面的客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧:

当然网络设置永远是在之一步的:

计算机名:Bserver

IP:192.168.5.2

子网掩码:255.255.255.0

DNS:192.168.5.1

既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和我的之一篇文章中所定的一样,这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”:

出现的向导和操作系统兼容性同安装之一台域控时是一样的,唯一要注意的是下面的那个画面:

安装之一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:

在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:

在这里一定要填入现有域的DNS全名,然后再点“下一步”,接下去的操作和安装之一台域控制器时是一样的,所以就不再写下去了,直到完成就可以了。至于在两台域控制器的域环境下,其中一台损坏,如何让另一台接替工作,我将在以后的文章一一详解。如果大家在前面的配置中碰到什么问题,欢迎大家给我发来E-Mail,,我的E-Mail地址是:。如果本人的文章中有什么错误之处,也请大家来信指正,谢谢!

活动目录之用户配置文件

关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)、(二))已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。

首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:

用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况:

本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。

域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。

通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。

当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:

请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:

首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:

然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:

在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:

然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。

如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?

如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:

画面很熟悉吧?

目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程:

首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改:

~

点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:\Documents and Settings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法:

先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以\\192.168.5.1\share\swg,里进行修改了,

然后再注销管理员帐号,用“swg”登陆,看看有没有成功:

看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。

最后再请大家注意两个问题:

1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?大家不妨自己想一想!

2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。

另外,团IDC网上有许多产品团购,便宜有口碑

域用户不能登陆linux的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于域用户不能登陆linux,解决Linux系统中域用户登陆问题的方法,局域网中xp如何访问linux,Windows登录linux samba服务器时提示“无法访问”,是什么原因?,怎么实现当域客户端访问linux共享文件服务器时不需要输入帐号密码呢,没加入域的客户端访问则需要提供帐户的信息别忘了在本站进行查找喔。

成都网站营销推广找创新互联,全国分站站群网站搭建更好做SEO营销。
创新互联(www.cdcxhl.com)四川成都IDC基础服务商,价格厚道。提供成都服务器托管租用、绵阳服务器租用托管、重庆服务器托管租用、贵阳服务器机房服务器托管租用。

新闻名称:解决Linux系统中域用户登陆问题的方法 (域用户不能登陆linux)
网页URL:http://www.shufengxianlan.com/qtweb/news11/269511.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联