16.1.1 将Samba设置为域成员

环境背景：

vSphere 6.7中安装RHEL8：

选择默认的【厚置备，延迟置零】，引导选项【EFI】，安装向导编辑启动项添加【inst.gpt】

不能选择【厚置备，置零】，否则安装过程中会卡死

1：加入域

（1）将RHEL8的DNS指向域控制器

# nmtui   

DNS servers 192.168.100.3         //修改为Windows Server Active Directory Domain
Search domains  vekea.com       //修改为域控制器IP地址

或者

# vi /etc/resolv.conf

 search vekea.com         //修改为Windows Server Active Directory Domain 
 nameserver 192.168.100.3   //修改为域控制器IP地址

（2）使RHEL8从域控制器同步时间，例如，域控制器IP地址为：192.168.100.100

# ntpdate 192.168.100.100

（3）配置iso本地源

（4）安装以下软件包

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients samba-winbind samba-common-tools samba-winbind-krb5-locator -y 

（5）要共享域成员上的目录或打印机，安装samba软件包

# yum install samba -y

（6）加入AD，需另外安装samba-winbind-krb5-locator软件包

（7）防火墙放行samba服务

# firewall-cmd --permanent --add-service=samba

（8）重命名现有的/etc/samba/smb.conf Samba配置文件

# mv /etc/samba/smb.conf /etc/samba/smb.conf.bk

（9） 加入域， 例如，要加入一个名为ad.example.com的域，默认会以administrator账号进行验证

# realm join --membership-software=samba --client-software=winbind ad.example.com

（10）验证winbindd是否正在运行，并设置开机自启动

# systemctl status winbind

# systemctl start winbind

# systemctl enable winbind

（11）启动smbd服务，查看运行状态并设置开机自启动

# systemctl start smb

# systemctl enable smb

# systemctl status smb

2：验证Samba是否已作为域成员正确加入

（1）查询AD域的管理员帐号administrator

# getent passwd ad.example.com\\administrator

（2）查询AD域中“ Domain Users”组的成员

# getent group "ad.example.com\\Domain Users"

（3）如果以上命令可以正常执行，可以使用域用户和组设置文件和目录的权限。例如，设置/root/svr/example.txt文件的所有者ad.example.com\administrator和组ad.example.com\Domain Users用户

# mkdir -p /srv/samba/example/
# chown "ad.example.com\administrator":"ad.example.com\Domain Users" /root/svr/example.txt

（4）例如，要将/ srv / samba / example /目录的所有者设置为root用户，请对Domain Users组授予读写权限，并拒绝对所有其他用户的访问

# chown root:"ad.example.com\Domain Users" /srv/samba/example/
# chmod 2770 /srv/samba/example/

（5）在Samba服务器上配置文件共享，并且设置共享用户新建文件和文件夹的默认权限，在smb.conf中添加如下配置信息

# vim /etc/samba/smb.conf

[example]
path = /srv/samba/example/
read only = no

create mode = 0771
force create mode = 0771
directory mode = 0771
force directory mode = 0771

重启smb服务

# systemctl restart smb.service 

（6）在windows计算机进行访问，例如，samba服务器地址为：192.168.253.100

\\192.168.253.100

附：删除windows共享盘连接的命令

net use * /del

（7）由于向在vSphere虚拟机中复制大量文件，虚拟机的cached内存增高不下，需要新建一个脚本定时清理

1、新建脚本：

# vim drop_caches.sh

2、内容如下：

#!/bin/bash
echo 3 > /proc/sys/vm/drop_caches

3、增加可执行权限

# chmod +x drop_caches.sh

4、编辑定时器

crontab  -e

5、设置每一分钟执行一次

* * * * * /root/drop_caches.sh

参考资料：https://www.cnblogs.com/rocky-AGE-24/p/7629500.html

echo 1 > /proc/sys/vm/drop_caches:表示清除pagecache。

echo 2 > /proc/sys/vm/drop_caches:表示清除回收slab分配器中的对象（包括目录项缓存和inode缓存）。slab分配器是内核中管理内存的一种机制，其中很多缓存数据实现都是用的pagecache。

echo 3 > /proc/sys/vm/drop_caches:表示清除pagecache和slab分配器中的缓存对象。

关于 强制位（s权限）和粘滞位（t权限）说明：

S_ISUID、S_ISGID两个常量，叫做强制位权限，作用在于设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份 ，一个文件运行时的身份，可以分别通过以下命令来设置s权限：

chmod u+xs filename 
chmod u-s filename 
chmod g+xs filename 
chmod g-s filename 

在设置s权限时文件属主、属组必须先设置相应的x权限，否则s权限并不能正真生效（chmod命令不进 行必 要的完整性检查，即使不设置x权限就设置s权限，chmod也不会报错，当我们ls -l时看到rwS， 大写S说明s 权限未生效）

S_ISVTX 使一个目录既能够让任何用户写入文档，又不让用户删除这个目录下他人的文档，t权限就是能起到这个作用。t权限一般只用在目录上，用在文档上起不到什么作用 在一个目录上设了t权限位后，（如/home，权限为1777)任何的用户都能够在这个目录下创建文档，但只能删除自己创建的文档(root除外)，这就对任何用户能写的目录下的用户文档 启到了保护的作用，可以通过以下命令来设置t权限

chmod +t filename
chmod -t filename

或只允许拥有者删除文件和文件夹，不允许别人删除

chmod +xt  *          //设置此目录下的所有文件
chmod +xt  fileanme   // 设置此目录下的单个文件

参考资料：

https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/deploying_different_types_of_servers/assembly_setting-up-samba-as-an-ad-domain-member-server_assembly_using-samba-as-a-server