CentOS 7 作为一款稳定可靠的 Linux 发行版,在企业环境中被广泛应用于服务器搭建,将其配置为域控制器(Domain Controller, DC)是许多管理员的需求,尤其是在需要统一管理用户认证、权限和策略的网络环境中,本文将详细介绍如何在 CentOS 7 上搭建基于 Samba 4 的域控制器,涵盖环境准备、安装配置、服务启动及常见问题排查等关键步骤,确保整个过程清晰易懂,便于实际操作。
环境准备与系统初始化
在开始配置域控制器之前,确保服务器满足基本要求并完成系统初始化,建议为域控制器分配一个静态 IP 地址,以避免因 IP 变更导致网络连接问题,通过编辑 /etc/sysconfig/network-scripts/ifcfg-ens33(具体文件名可能因网卡而异)配置静态 IP,并重启网络服务 systemctl restart network,确保系统已更新至最新版本,执行 yum update -y 安装所有安全补丁和更新,关闭防火墙和 SELinux,以简化初始配置(生产环境中需谨慎调整安全策略),执行命令 systemctl stop firewalld && systemctl disable firewalld 以及 setenforce 0 并修改 /etc/selinux/config 文件将 SELINUX 设置为 disabled,为服务器设置一个完整的主机名,dc.example.com,并通过 hostnamectl set-hostname dc.example.com 命令使其永久生效。
安装 Samba 4 及相关依赖
Samba 4 是实现 Windows 域服务的核心工具,需在 CentOS 7 上安装并配置,添加 EPEL 仓库以获取最新的 Samba 版本,执行 yum install -y epel-release,随后,安装 Samba 4 及其依赖包,包括 samba4.x86_64、samba4-client、samba4-common、samba4-swat(可选,用于 Web 界面管理)和 python3-dns 等,安装完成后,通过 samba -V 命令验证 Samba 版本,确保为 4.10 或更高版本(CentOS 7 默认仓库可能版本较低,建议从 Samba 官方源编译或使用第三方仓库),安装过程中,若提示依赖冲突,可使用 yum --skip-broken 跳过问题包,后续手动解决依赖关系。
初始化域控制器角色
安装完成后,需通过 samba-tool 命令将服务器初始化为域控制器,使用 samba-tool domain provision 命令进行交互式配置,或通过参数直接指定域信息,以下命令可快速创建名为 example.com 的域,域名为 EXAMPLE,并设置管理员密码:
samba-tool domain provision --server-role=dc --use-rfc2307 --domain=EXAMPLE --realm=example.com --adminpass=YourPassword123
参数说明:--server-role=dc 指定角色为域控制器;--use-rfc2307 启用对 POSIX 用户和组的支持,便于 Linux 环境集成;--domain 和 --realm 分别为 NetBIOS 域名和完全限定域名,初始化过程中,系统会自动创建 /var/lib/samba/private/ 目录存储数据库,并生成 /etc/samba/smb.conf 配置文件,完成后,检查 /etc/samba/smb.conf 文件,确保 [global] 段落包含正确的 workgroup、realm 和 server services 等参数。
配置系统服务与开机启动
域控制器初始化后,需启动相关服务并设置开机自启,将 Samba 相关服务添加到系统服务管理中,执行 systemctl enable samba.service 和 systemctl enable nmb.service,随后,启动服务并检查状态:
systemctl start samba.service nmb.service systemctl status samba.service nmb.service
确保服务处于 active (running) 状态,若启动失败,可通过 journalctl -u samba.service 查看日志排查问题,域控制器依赖 DNS 服务解析,需确保 BIND 或 Samba 内置 DNS 正常运行,可通过 dig @localhost example.com 测试 DNS 解析,若无法解析,检查 /etc/resolv.conf 是否指向本地服务器(nameserver 127.0.0.1),验证域控制器功能,在 Windows 客户端尝试加入域,或使用 samba-tool user list 命令列出域用户。
域用户与权限管理
域控制器配置完成后,可开始管理用户和权限,使用 samba-tool user create 命令创建新用户,
samba-tool user create username 'Password123' --given-name="User" --surname="Name"
创建的用户将自动同步至 Active Directory 数据库,若需修改用户密码,执行 samba-tool user setpassword username,对于组管理,可通过 samba-tool group add groupname 创建组,并使用 samba-tool group addmembers groupname username 添加成员,在 Linux 环境中,域用户和组会映射为本地用户,可通过 getent passwd username 验证,可通过组策略(Group Policy Object, GPO)集中管理客户端策略,例如在 /var/lib/samba/sysvol/example.com/Policies/ 目录下创建 GPO 文件,并通过 samba-tool gpo create 命令应用策略。
常见问题与故障排查
在域控制器运行过程中,可能会遇到一些常见问题,客户端无法加入域时,检查 DNS 配置是否正确,确保客户端能够解析域控制器的 SRV 记录(可通过 nslookup -type=srv _ldap._tcp.example.com 测试),若认证失败,确认 /etc/krb5.conf 文件中的 realms 和 domain_realm 配置与域匹配,并使用 kinit administrator@example.com 测试 Kerberos 认证,若 Samba 服务启动时报错“failed to initialize database”,可能是权限问题,需确保 /var/lib/samba/private/ 目录属主为 root 且权限为 700,对于性能问题,可通过 samba-tool dbcheck 命令检查数据库完整性,必要时重建索引或清理过期对象。
相关问答 FAQs
问题 1:CentOS 7 域控制器如何支持 Windows 客户端加入域?
解答:确保客户端 DNS 服务器指向域控制器 IP,并在客户端系统中使用“系统属性”中的“计算机名”选项卡点击“更改”,选择“域”并输入域名(如 example.com),使用域管理员账户凭据加入,加入成功后,重启客户端即可使用域账户登录,若提示“找不到域控制器”,检查 DNS 解析和防火墙规则,确保域控制器 88(Kerberos)、389(LDAP)、445(SMB)等端口开放。
问题 2:如何备份和恢复 CentOS 7 域控制器?
解答:备份域控制器需定期执行数据库和配置文件备份,使用 samba-tool dbcheck --cross-ncs 检查数据库完整性后,通过 rsync -av /var/lib/samba/ /backup/samba/ 备份数据库目录,并手动备份 /etc/samba/smb.conf 和 /etc/krb5.conf 文件,恢复时,先停止 Samba 服务,替换备份文件,然后执行 samba-tool dbcheck --fix 修复数据库,最后重启服务,建议在测试环境中验证恢复流程,确保数据一致性。