Centos7.7 PPTPD 虛擬專用網(wǎng)絡 搭建+Samba+Winbind集成AD域認證

說明：本人也是從網(wǎng)上東拼西湊找來的教程，自己一遍遍測試過，得出的結(jié)論，讓大家可以避免很多坑，還要感謝那些原創(chuàng)的大神們。

一．公司網(wǎng)絡環(huán)境介紹：

1. H3C MSR路由器通過G0/2口連接外網(wǎng)，固定公網(wǎng)IP地址：111.198.18.XX

2. PDC域服務器（也是DNS服務器）10.1.0.1

BDC備份域服務器10.1.0.5

3. PPTPD 虛擬專用網(wǎng)絡服務器，通過vSphere Esxi服務器創(chuàng)建虛擬機：

Centos 7.7 1908，內(nèi)網(wǎng)地址10.1.0.24

4. 驗證客戶端Windows7。

二．通過Samba+Winbind服務將Centos加入到AD域：

1. 基礎(chǔ)環(huán)境準備：

⑴ 修改網(wǎng)卡信息，添加DNS地址，就是域地址：

#vim /etc/sysconfig/network-scripts/ifcfg-ens192

⑵ 修改selinux：#vim /etc/sysconfig/selinux

立刻生效：#setenforce 0

⑶ 防火墻暫時關(guān)閉，后續(xù)需要開啟：

#systemctl stop firewalld && systemctl disable firewalld

2. Yum安裝Samba所需軟件（預先配置好阿里yum源，此處略過）：

#yum -y install pam_krb5* krb5-libs* krb5-workstation* krb5-devel*? samba samba-winbind* samba-client* samba-swat* ntpdate*

安裝完成后，開啟相關(guān)服務：

#systemctl restart smb nmb ; systemctl restart winbind

3. 與AD域時間同步：

#ntpdate 10.1.0.5

4. 相關(guān)配置：

⑴ 修改smb.conf，只修改、添加全局設(shè)置；

#vim /etc/samba/smb.conf

[global]
??????? workgroup = TEST
??????? realm = TEST.COM
??????? security = ads
??????? idmap config * : range = 16777216-33554431
??????? template shell = /bin/bash
??????? template homedir = /home/%D/%U
??????? winbind enum users = yes
??????? winbind enum groups =yes
??????? winbind use default domain = true
??????? winbind offline logon = true
??????? server string = pptpd server
??????? log file =/var/log/samba/log.%m
??????? max log size = 50
??????? passdb backend = tdbsam
??????? encrypt passwords = yes
??????? printing = cups
??????? printcap name = cups
??????? load printers = yes

⑵ 修改nsswitch.conf；

#vim /etc/nsswitch.conf

⑶ 修改krb5.conf；

#vim /etc/krb5.conf

includedir /etc/krb5.conf.d/

[logging]

default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_realm = TEST.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
? TEST.COM = {
?? kdc = 10.1.0.1
?? admin_server = 10.1.0.1
? }
[domain_realm]
.example.com = TEST.COM
? example.com = TEST.COM

5. 加入AD域：

#net ad join -Uadministrator

加入后，重啟以下服務（此處需要注意，服務最好不要一起重啟，單個重啟，否則可能會報錯）：

#systemctl restart smb

#systemctl restart winbind

6. 測試winbind服務：

#wbinfo -t //測試通信成功與否，信任關(guān)系是否建立

#wbinfo -u //測試域用戶賬號是否同步

#wbinfo -g //測試域組信息是否同步

7. 測試kerberos服務：

#kinit ***test1 //測試用戶

8. 如果加入域有報錯，可以嘗試以下命令：

⑴ 先清理緩存：

# rm -rf /var/lib/samba/private/secrets.tdb

# rm -rf /var/lib/samba/gencache.tdb

⑵ samba退出域：

#net ads leave -Uadministrator

9. 防火墻配置命令：

#systemctl restart firewalld ; systemctl enable firewall

#firewall-cmd --permanent --add-service=samba //添加samba服務

#firewall-cmd –reload

10. 常用命令：

⑴ 重載smbd、nmbd、winbindd的配置，請將reload-config消息類型發(fā)送到all目標：

#smbcontrol all reload-config

⑵ 測試samba配置參數(shù)：

#testparm /etc/samba/smb.conf

⑶ 加入AD域命令：

#net ads join -U "DOMAIN\administrator"

三．通過PPTPD搭建服務器：

1. PPTPD服務端安裝：

⑴ 檢查服務器端系統(tǒng)版本：

#cat /etc/redhat-release

⑵ 檢查IP地址信息：

#ip addr

⑶ 檢查PPP是否開啟：

#cat /dev/ppp

#modprobe ppp-compress-18 && echo ok

⑷ 安裝PPP：

#yum install -y ppp

⑸ 安裝PPTPD：

① 安裝wget:

#yum install -y wget

② 添加EPEL源：

#wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm

③ 安裝EPEL源：

#rpm -ivh epel-release-latest-7.noarch.rpm

④ 檢查源：

#yum repolist

⑤ 更新源列表：

#yum -y update

⑹ 設(shè)置虛擬專用網(wǎng)絡內(nèi)網(wǎng)IP地址段：

#vim /etc/pptpd.conf

將以下兩行前面的#號刪掉，配置虛擬專用網(wǎng)絡內(nèi)網(wǎng)的IP段，也可自行設(shè)置

localip 10.1.0.24 //虛擬專用網(wǎng)絡服務器內(nèi)網(wǎng)IP地址

remoteip 10.1.2.100-150 //虛擬專用網(wǎng)絡連接IP地址段

⑺ 配置opptions.pptpd：

#vi /etc/ppp/options.pptpd

① 修改DNS（阿里DNS）：

ms-dns 233.5.5.5

ms-dns 233.6.6.6

② 修改日志存放位置：

nologfd

logfile /var/log/pptpd.log

③ 加載AD驗證模塊，此處用于AD域賬號認證，非常重要，復制到相應位置：

plugin winbind.so

ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1"

⑻ 設(shè)置虛擬專用網(wǎng)絡本地賬號（適合沒有AD域環(huán)境的網(wǎng)友，因為我們用AD域賬號登錄虛擬專用網(wǎng)絡，此處不用設(shè)置）：

# vim /etc/ppp/chap-secrets

用戶 ?協(xié)議 ?密碼 ?IP規(guī)則

***user1 pptpd 123 * //*代表任意IP連接虛擬專用網(wǎng)絡都可以

⑼ 添加轉(zhuǎn)發(fā)策略：

在最下面添加：net.ipv4.ip_forward=1

#vim /etc/sysctl.conf

net.ipv4.ip_forward=1

#sysctl -p //輸入命令，使其生效

⑽ 修改防火墻規(guī)則：

創(chuàng)建規(guī)則文件，并添加如下規(guī)則：

#touch /usr/lib/firewalld/services/pptpd.xml

#vim /usr/lib/firewalld/services/pptpd.xml

<?xml version="1.0" encoding="utf-8"?>

<service>

<short>pptpd</short>

<description>PPTP</description>

<port protocol="tcp" port="1723"/>

</service>

#systemctl? restart firewalld //重啟防火墻

① 添加服務：

#firewall-cmd --permanent --zone=public --add-service=pptpd

② 允許防火墻偽裝IP：

#firewall-cmd --add-masquerade

③ 開啟 47和1723端口：

#firewall-cmd --permanent --zone=public --add-port=47/tcp

#firewall-cmd --permanent --zone=public --add-port=1723/tcp

④ 允許grep協(xié)議：

#firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p gre -j ACCEPT

#firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p gre -j ACCEPT

⑤ 設(shè)置規(guī)則允許數(shù)據(jù)包由eth0 和ppp+接口中進出（此處注意自己網(wǎng)卡名稱）：

#firewall-cmd --permanent --direct --add-rule ipv4 filter ?FORWARD 0 -i ppp+ -o eth0 -j ACCEPT

#firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o ppp+ -j ACCEPT

⑥ 設(shè)置轉(zhuǎn)發(fā)規(guī)則，從源地址發(fā)出的所有包進行偽裝，改變地址，由eth0發(fā)出：

#firewall-cmd --permanent --direct --passthrough ipv4 -t nat -I POSTROUTING -o eth0 -j MASQUERADE -s 10.1.2.0/24

⑾ 開啟轉(zhuǎn)發(fā)規(guī)則：

轉(zhuǎn)發(fā)規(guī)則有兩種，在此我使用的是OpenVZ架構(gòu)，在命令終端輸入第二條命令：

① XEN架構(gòu)：

#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -o eth0 -j MASQUERADE

② OpenVZ架構(gòu)：

#iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-source 111.198.18.XX???

//虛擬專用網(wǎng)絡公網(wǎng)IP 要換成你服務器的IP 比如 111.198.18.XX

⑿ 編輯rc.local文件，添加轉(zhuǎn)發(fā)規(guī)則：

① 給rc.local執(zhí)行權(quán)限：

#chmod +x /etc/rc.d/rc.local

② 編輯rc.local文件：

在此使用的OpenVZ架構(gòu)：

#vim /etc/rc.d/rc.local

iptables -t nat -A POSTROUTING -s 10.1.2.0/24 -j SNAT --to-source 111.198.18.XX

#systemctl restart rc-local

⒀ 重啟服務，并設(shè)置開機啟動：

#systemctl restart pptpd ; systemctl enable pptpd

#firewall-cmd –reload

⒁ 查看PPTPD服務：

#ps -aux |grep pptpd

2. H3C MSR36-20路由器設(shè)置NAT端口映射（其他品牌自行百度）：

[H3C]sys

[H3C]interface GigabitEthernet 0/2

[H3C]nat server protocol tcp global 111.198.18.XX 1723 inside 10.1.0.24 1723

[H3C]exit

[H3C]save f

[H3C]dis nat all //查看所有nat

四. 客戶端虛擬專用網(wǎng)絡連接測試（此處略過配置過程，上一些測試圖片）：

通過虛擬專用網(wǎng)絡連接，可以連接網(wǎng)盤，PING通DC主機。