灌溉梦想,记录脚步

我考H3CIE的经历

写在前面:
本人只为纪念H3CIE考试,想记录下自己考这个考试的经历,没有任何的技术成分以及泄题。我仅仅是想告诉我自己,努力是有回报的。前辈们看了不要笑话,晚辈仅仅是为了记录自己的点点滴滴。

如题,H3CIE只是我的一个心愿,在看到这个成绩单的时候,我心里很感动,因为我的努力有了成果。很多人都在议论,H3CIE和CCIE谁好谁坏,谁赚的钱多。我个人的回答是,您自己考一次IE就明白,IE确实不简单,不管是那个厂家的,一个专家级的认证,如果不能证明考生具备专业的技术知识,那推出来做什么,不具备绝对的挑战。挑战是很有意思的2个字,不信您来试试。字少我是考了2次,当然我没有接受任何的培训,下面对官方对H3CIE做的介绍:

H3CIE(H3C Certified Internetwork Expert,H3C认证互联网络专家)是H3C公司在网络技术领域的顶级专家认证,同时H3CIE也不是一个“基于培训的认证”。
H3CIE认证的目标人群是在网络技术领域有长期的实践经验,熟悉网络设备产品和相关技术理论的网络工程技术人员,网络设计者和网络维护者。

考试分为:笔试(1900多元考一次)、机试LAB(8000元考一次,但是我用的是优惠券)、面试(2000元考一次)

共计:12000元左右。如果您可以公司报销,那最好了。不过我是个人出资的。

实际上简单的说:就是没有资料可以参考,当然你可以自己找到,也没有人提供培训,当然你也可以自己找到。也没有太多前辈考过,当然字少在我之前有十几个通过的。所以一切还是靠自己努力,这种感觉就是我想要的,奋斗、充实。费用有点贵,考2次如果都挂的话,那还是仔细推敲一下自己的实力究竟有多深。别继续砸钱了。

————————————————————————————————————————————
H3CIE的目标定位:大型园区网络的规划设计实施优化,涵盖设备开机—》MPLS-TE的所有内容,当然LAB考试其实没这么麻烦。学网络就是学协议,学协议就是学规划。

H3CIE的含金量:物以稀为贵,道理依然。但是H3C厂家没有CISCO那么出名,H3C只是个小华为,但是记住H3CIE是华为任正非亲自发布的,因此算是华为面对企业网市场的一个顶尖证书。我不想对证书的含金量有何评价,个人认为证书无非是自己的一个证明,明白黑客精神的朋友都知道为何自己要不断入侵。那是为了一种快乐,自信。证明自己有实力获得它,挑战它,放倒它。这个就是我要做的,也是对自己3年学网络互联的一个结果,呵呵很多人还认为我是学计算机的呢,那简直是在搞笑。网络对用户永远是透明的,如果没有我们网络互联人员搭桥,那么用户之间永远都不能互访。H3CIE其实就是一张paper,paper能含金嘛?因此在这个paper的背后,努力才是金,过程才是金,结果只是Paper.当然,我绝对不是一张paper呵呵,不信过两招?H3CIE这个最的最好,有一轮面试,一般是3-5个顶尖大师,轮番轰炸。H3CIE不是一个PAPER,因为他来之不易。不信?那么你去试试吧!呵呵
————————————————————————————————————————————–
过程:

在我2005年8月17号,认识IP地址的那天开始,我发誓,我一定要努力走下去,攻下CCIE。但是遗憾,我高考英语只有38分,这样的成绩能去攻打CCIE嘛?那岂不是搞笑。于是我毅然的走了华为这条路,因为他是国产的,也是中文的就这样简单。完全是因为我觉得好入手,而没有带有任何的厂家眼光去看。那个时候华为3com还没离开华为,因此我们只能学习华为3com的东西,不过学习就是这样,原理才是最重要的,你管他什么厂家。你渗透理解一个东西之后,你一定会体会到触类旁通的快乐感。3年里,我像疯子一样的吸收网络互联知识。去了网吧不是去机器边,而是去他们的机房内看看,从网吧到小区,从小区到企业,从企业到ISP一级一级的摸索下来,已经完全渗透了网络的架构,因此才能在H3CIE的考试里找到久违的数据感。我不是什么经验丰富的工程师,我仅仅是个大学学美术,英语38,数学高考28的网络互联爱好者,用我自己的话来说:我不是黑客,但我有黑客精神。这个就够了。毅力泰然。我没有丰富的工程项目经验,也没有本科网络系毕业的扎实功底。我靠的是我自己!!!3年里我思考了人家可能30年才理解的问题。于是我在1次失败之后爬起来了!

起初,在学习网络协议的时候非常枯燥,看到报文结构就跳了,后来用了Sniffer发现原来协议很神奇呵呵。当你读懂E文之后,你就明白网络设备之间在说的什么。当然最好是具备点网络常识不然你去用sniffer还不如百度一把来的快。入手的时候记得是考国家的软考,在这里我还要感谢巧克力、猪是的念着倒(师傅),那时候考软考遇到计算题不是他们带我,那我估计我现在还在考软考呢。没错国家的水平资格考试,那时候认为很牛B的一个考试,看那书和看天文似的,不过当你看过6次之后,你就会知道了。哦原来自己是天才呵呵。良好的基础让我考华为的HCNE在7天之内就搞定了。接下来就是华为的HCSE,再下来就是华为初级讲师,再下来就是2年多一点的讲课经历。这2年内我技术有了本质的飞跃。当然HCSE的讲师也考了,然后还搞了一些小插曲比如微软的什么CEAC,什么LINUX的证书,参加全国精英大赛。最后发现自己证书有11张,这里就不列出来了,没几张是好使的都是些小朋友考的。

难忘,最难忘记的还是这2年的讲师经历,在我上讲台的第二天开始,我就不再紧张了,因为我是近视眼不清楚下面的朋友在做什么。我只是对着PPT喷呵呵。但是,这2年里,我的网络原理,升华了,因为我开始慢慢的认识到自己在软考书籍里看到的最强理论。比如啥ARQ重传,啥误码率,啥编码,啥模型,啥算法等等许多专业名词就开始慢慢化解。然后数据感自然掌握的很好,我可以在一大堆设备里找到从一个接口进去的包应该要从那个接口出来,以及为什么这样出来,过程我也可以描述,而且这一切完全是在脑子里思考的。有位前辈告诉过我,当你没有实验设备的时候,那你就必须要做到心中有一张网。时刻知道那台设备在做什么,为何这样做。牢记于心,于是很多实验我都是思考一下就OK的,除非是我思考不出来的,才千方百计的去找客户的设备搞。经过2年的讲师,不但是我的综合素质提高了,还让我的网络原理渗透了解了。这一切都是为考H3CIE准备着的。当然在这个过程里,我看了多少书呢?告诉大家:21本。当然不全是华为的,CISCO的啥都看。只要觉得是好的,电子版资料无数。我最得意的,是我的VRP3.4手册,我看了不下5次通读,不过没背下来,命令的熟悉完全来自看手册。我习惯,通过手册里的命令来了解原理。我得知道研发为何要开发这个参数!当你学网络的时候一定要记住:从研发角度去思考问题,虽然你不会程序,但是你的逻辑思维能力还是有的,这个时候你的知道为何有这个参数。我一直都是这样干的,因此我可以给你把华为或H3C设备3.X的系统所有命令解释一次。那些日子里,我一个人吃饭、走路、睡觉、经常思考为何为何为何为何要有这样的一个参数,它会给网络带来什么?我经常免费出去为人调试,顺便用客户设备做做实验。因为是在是难以找到设备,我的本职工作是讲师,没有那么多的项目经验,我知道考了IE也是白搭,因此我开始免费为人办事,从而我获得了无价的财富—经验!一点一滴,从小到大我做了22个项目,最大的一个带给了我5000元的考试费,那是一个省级企业网。也曾帮助过许多CCIE做网络优化,比如山东教育网,递归静态路由感知下一跳。这一切一切都是在这2年内发生的,我像一个疯子一样,早上8点出门,晚上2点回家睡觉。我的出租房,除了一张床就没别的了。风风雨雨本本陪我度过。我坚信,只有卧薪尝胆,你才会出类拔萃!时常我会去大学做讲座,当然带点商业性质的,一般下面会有300人左右。1小时的讲座通常是介绍培训,当然这个打造了我的胆量,我很感谢我的公司带给我这样好的机会。作为一个IT人,你永远要有挨踢的准备。讲座也不是一帆风顺,时常闹点笑话。但是在大家嘲笑的同时,我知道了,我错了。嘿嘿,然后我纠正了自己,一次又一次的纠错。让我的知识掌握的越来越正确。
经过,这个难忘的2年扎实的学习,
考试:

俗话说:养兵百日,练兵一时。台下十年功,台上1秒钟。经过了扎实的磨练,我根本就不怕这个考试,其实第一次去,就是因为太狂,结果大意了。连OSPF的区域0都放在WAN上去了,我回想起来还真是搞笑。前辈们听到后,都说今天不是愚人节吧,小吕挂了。说实话,我第一次考试之后才体会到自己的不足,我认为只要原理非常扎实考这样的考试完全没问题,技术知识点的难度又不大,命令我全可以默写。当时我还怕自己打了满分给HOLD了。后来才知道自己挂了,那一刻我的心都裂开了。比失恋还难过,因为我的心血没了。我给父亲打了电话,他支持我再考一次。说他给钱,我没大意见了。挂了电话,在北京这个陌生的地方游荡了很久,开始总结自己的失败。我发现H3CIE的考题出的非常精妙,细节很多,如果你不注意的话,那结果就会和我一样,心高气傲的人不合适考这个,以为啥都会了,结果一不小心你就知道厉害了。H3CIE的题目非常标准,这里不方便透露,不过我只能说,出这个题的考官对每一个细节都有考虑到位,我开始分析这个考题,从分析中我知道了,H3CIE的考试确实不是培训的人能考过的,需要经验,经验是什么?人出身就有经验了嘛?NO!经验是细节,我是个个性张扬的人,喜欢炫耀,让我心浮气躁,在这次考试我吃了巨大的苦头,我回去对我自己进行了审核,告诉自己:如果你想过,那没有再一次的机会,最后一次考试,如果你不细心,那就悲伤吧。我终于明白为何低调的人才是高手,因为他们能细心琢磨,而不是只看表面。没错H3CIE的考题极端标准,说实话,我被这个题目折服了,他让我学道了很多工程里的经验,对,我是在考试的时候学的。我的学习格言就是:做一块能够吸收的海绵,把学习当作一种生活。一次失败了之后,我总结了自己对网络的理解,发现H3CIE的考试,不是在考你会不会做这个题,不是问你命令如何配,其实你不配也有分,只要你的思路写在卷面上。他考的是,你在项目里应该如何去部署这个技术,不是说这个技术在这个题里如何做,他需要考虑你的项目经验,因此我第一次的失败就是因为经验不足。而接下来的日子我做了什么呢?3月–6月
有3个月时间。
挑战

我在接下来的3个月里,基本上是有项目必到,不收费。然后自己从CCIE的题目里挑选出来一些,自己设计了一些实验来做,白天做实验,晚上讲课,下班继续做实验(远程)。我仔细分析考题,发现了很多细节。终于让我知道,自己的考试错在那里了。进行了总结之后,理解在工程中有很多地方应该优化。而不是配一下就了难走人了。那不叫专家,"千于"前辈告诉过我:工程师的眼里是一台设备,专家的眼里是一张网。如果你不能看到你配的东西对网络带来的影响,那您即使拿下了IE,也仅仅是个paper。研发和网络工程师的区别就是,研发仅仅看到的是他开发的部分,以及开发的设备,对整网的理解,是网络工程师的优势。

这次考试我和力力一起来的,力力是我在QQ群里认识的一个H3C广州办事处的朋友,他年级比我小一岁23,他上次因为是带伤考试的(脚骨折了),考试也挂了,但是分数比我高点,字少他是有2年项目经验的HCTE。见到了他果然人如其名很壮士。这次他是我的战友,最后我们2个人都PASS了。

又来了久违的东方电子大厦,心情很复杂,原本做讲师的我,从来不会面对陌生人紧张,但是那一天我觉得自己很紧张,深呼吸了一口气。冲吧,我进去之前告诉自己:冷静!
仔细分析题。如我们所想象的,这次的考题和上次的不一样了,对于我来说恩,是新题。还是上吧,分析了1小时开始动手,时间慢慢的过去了,我有点饿了,还好早有准备,事实上你去考考IE就会明白,这是个体力活。不仅仅是脑力,我准备的是2瓶红牛,这个是舟舟前辈告诉我的。还有几个面包。边吃,边喝,边思考。上次我就因为下午太饿,结果精神不集中。希望后来的朋友,记住,这个不是个脑力考试,是个体力活,你可能需要不停的敲4个小时命令。边考试边排错,因为有人攻击你。这个我原本也不相信,因为上次考试没出现,但是这次确实体会到了,一个hybird口配上去了,发现配置被改了。晕。还好我经常观察,迅速的改了回来。考官是想考验你的考试心态,这个CISCO考试也有。不过他们修改的地方都很简单,你注意看就可以了。下午4点多一点做完了,检查了1轮没啥问题,交了。默默的离开了这个考场,120号。回到朋友家一晚没睡好,总担心这个考试挂了,朋友安慰了我很久。力力表现的很轻松,他说反正他还要考CCIE就再来一次吧。呵呵,第二天我和他去了故宫,那一天玩的很开心。因为在地铁里我们2个人知道我们都PASS了。瞬间我有些感动,有点想哭的感觉,因为这对我个人来说,确实是来之不易。这对我来说意味着一种收获。我们兴高采烈的玩了一整天,疲惫的回来了。

面试,当知道通过实验考试的时候,力力说他要回去了,不能陪我继续考面试,办事处催的急。次晨,他就飞回去了。战友走了,剩下的又是我一个人了,我最不熟悉的问题就是关于MPLS的,RS的基础我可以说是非常扎实。面试其实我心里还是非常有底的,因为做为讲师,很清楚应该如何与人交流技术。没错,45分钟的时间,可谓三英战吕布。不过我一直听到的是4个字:非常正确。如果要说理论原理,那我可以说是炉火纯青。在那2年的艰苦岁月里,我思考过,看过,分析过无数的技术细节。所以面试我其实根本不怕,当然面试官还是非常厉害的,他们做这个面试其实是为了防止一些PAPERIE的出现,搞烂这个IE证书。45分钟结束之后,我喝了一杯水,匆匆离开了,因为还有2个800的哥们需要面试。当然具我所知,面试还没有人fail。因为大家都不是PAPER。

最后,去颐和园玩了一天,这一天里,我心情很泰然,知道我还有奇迹要创造,想起以前的女朋友说过,我是个会创造奇迹的人。也许若干年后我也可以在QQ里写上一句:当H3CIE已成往事~~~。(第四帝国前辈名言:当CCIE已成往事~)或许我会去考其他方向的,比如安全,SP等。或许我不再向往网络技术,一切都还在迷茫。我需要一个目标,对一个像H3CIE一样坚定的目标。还是那句话:将荣誉燃烧!!!

ubuntu下安装VMware

VMware Server现在已经可以免费下载,利用VMware Server你可以在你的主机上建立并且运行多个虚拟主机,而且是同时的,当然,如果你的内存小,这样做的后果会让你的电脑变得很慢。

下面就让我们开始安装

1.首先打开系统终端,输入:sudo su,这样就进入ubuntu系统下的root权限,

2.利用apt下载一些安装VMware Server之前必备的库文件

apt-get install libx11-6 libx11-dev libxtst6 xlibs-dev xinetd wget

apt-get install linux-headers-‘uname –r’ build-essential(编译内核头文件)

apt-get install gcc binutils-doc cpp-doc make manpages-dev autoconf automake1.9 libtool flex bison gdb gcc-doc gcc-4.0-doc libc6-dev-amd64 lib64gcc1

以上三步是必需的,否则接下来在安装软件的时候无法进行。

接着建立一个文件夹:mkdir /var/vm,这个目录接下来会用到,不过建立是随意的,主要是因为Vmware默认的安装目录太深,不方便。

3. 到http://www.vmware.com/download/server/该地址下载Vmware的linux版,最好下载tar.gz源代码压缩包,安装的时候就编译了(RPM包的文件可以在RH和FC的发行版上运行,但是安装以后还要执行编译才可以)

找到下载地址,将源代码压缩包下载下来,也可以在终端里使用

对于ubuntu 7.04 可以通过新立得软件管理器进行安装。

这个虽然安装完了,但是觉得用着不习惯。最后又安装了VBox软件。大家可以试用一下。

这个世界最好的操作系统

相对与微软这霸道的载体,有一个操作系统最为美好,她就是Ubuntu,linux家族的一员,结合了开源软件和私有软件的各种优点,功能强大,界面友好.也是目前使微软感到最为恐惧的一个操作系统,且支持中文.
Ubuntu 旨在创建一个可以为桌面和服务器提供一个最新且一贯的 Linux 系统,提供了一个健壮、功能丰富的计算环境,既适合家用又适用于商业环境。Ubuntu支持各种形形色色的架构,包括 i386 (386/486/Pentium(II/III/IV)和Athlon/Duron/Sempron 处理器),AMD64(Athlon64, Opteron, 最新的64位 Intel 处理器),以及PowerPC(iBook/Powerbook, G4 and G5)等。顺便说一下其最新版本为7.04,在网上搜一下,高速下载哦.

以上内容均属个人意见.

另外,也可以在上面用qq,还有火狐浏览器,比IE强多了,我的机器就是装的Ubuntu,她比vsita更美丽

ubuntu 9.04 X3100 显卡开启3D特效

说明:我的系统是9.04,内核 2.6.30rc2,显卡intel x3100 (在9.04中,x3100显卡很有必要升级为该内核,速度提升很明显)
见:http://forum.ubuntu.org.cn/viewtopic.php?f=49&t=196419

1. 运行sudo gedit /etc/X11/xorg.conf

Section "Device"
Identifier "Configured Video Device"
EndSection

修改为
Section "Device"
Identifier "intel"
EndSection
注意:这里应该是小写的i,即 intel ,下同


Section "Screen"
Identifier "Default Screen"
Monitor "Configured Monitor"
Device "Configured Video Device"
EndSection
修改为
Section "Screen"
Identifier "Default Screen"
Monitor "Configured Monitor"
Device "intel"
EndSection

2.卸载现有驱动
sudo apt-get remove xserver-xorg-video-intel

3.重新安装驱动
sudo apt-get install xserver-xorg-video-intel

4.修改compiz的配置
sudo gedit /etc/xdg/compiz/compiz-manager

新起一行,增加SKIP_CHECKS=yes, 保存

5.运行 sudo apt-get install compizconfig-settings-manager
安装compiz的配置管理器

6.重启系统,打开compiz fusion icon,在window manager中选择 compiz
说明:这一步很重要,我就是因为先装的cairo-dock,启用拉 metacity 的window manager,所以才始终无法打开桌面效果!

7.成功打开桌面效果和3D

ubuntu 修改主机名

主机名就是你在登陆或者打开终端的时候前面提示符上面username@hostname:~$那个主机名。

默认的是系统安装时候设置的。

  找到这两个文件,并把里面原来的主机名改成你想改的主机名,重启即可。
  /etc/hostname
  /etc/hosts

清除Vista过期系统补丁包

vista sp2 rc版本发布了,安装之后发现C增大不少,不过在官方上查到可以用工具清除过期补丁包,工具具体路径为 “c:\Windows\System32\compcln.exe”。激活开始菜单,依次选择“所有程序→附件→命令提示符”,然后输入compcln 之后会提示:
C:\Users\chen>compcln
此操作将使所有的 Service Pack 和其他程序包永久保留在这台计算机上。操作完成后,您
将无法从此系统删除任何已清除的程序包。

是否要继续? (Y/N): y

#选择y

正在执行 Windows Component Clean…
Windows Component Clean 已完成。
#即清除完成

linux加入windows域

一、实验环境:
AD server:windows server 2003
AD samba:centos 5.2
AD server的hostname和IP地址:
rocdk890 192.168.1.142/24
AD samba的hostname和IP地址:
lamp 192.168.1.144/24
Domain name:rocdk890.tt.com
DNS:192.168.1.142
安装NTP时间验证套件:
# mount /dev/cdrom /media
# rpm -ivh /cdrom/CentOS/RPMS/ntp-4.2.2p1-7.el5.i386.rpm
当然也可以用yum来安装
#yum -y install ntp (注意ntp要小写)
再来与AD server校准时间
# ntpdate 192.168.1.142
# hwclock -w
安装Samba服务器软件需求:
krb5-workstation-1.2.7-19
pam_krb5-1.70-1
krb5-devel-1.2.7-19
krb5-libs-1.2.7-19
samba-3.0.5-2
当然我在这里偷了下懒,我直接用yum进行的安装,毕竟只是了解下这个实验的思路,所以就不用管安全性了。
#yum -y install samba
安装完后,如果你要确认samba安装成功没有可以用下述命令来检查samba包的基础库支持,一般用yum安装或RPM安装是不会有问题的。
# smbd -b | grep LDAP
HAVE_LDAP_H
HAVE_LDAP
HAVE_LDAP_DOMAIN2HOSTLIST

# smbd -b | grep KRB
HAVE_KRB5_H
HAVE_ADDRTYPE_IN_KRB5_ADDRESS
HAVE_KRB5

# smbd -b | grep ADS
WITH_ADS
WITH_ADS
# smbd -b | grep WINBIND
WITH_WINBIND
WITH_WINBIND
二、编辑设定档
1、krb5配置
#vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = TT.COM # 大写域名称
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TT.COM = { # 大写域名称
kdc = 192.168.1.142:88 # 域伺服器IP
admin_server = 192.168.1.142:749 # 域伺服器IP
default_domain = tt.com # 预设域名称,这里就不用大写了
}
[domain_realm]
.tt.com = TT.COM # 域验证范围
tt.com = TT.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
连接AD server
kinit administrator@TT.COM
Kerberos 的 kinit 命令将测试服务器间的通信,后面的域名TT.COM 是你的活动目录的域名,必须大写,否则会收到错误信息:
kinit(v5): Cannot find KDC for requested realm while getting initial credentials.
如果通信正常,你会提示输入口令,口令正确的话,就返回 bash 提示符,如果错误则报告:
kinit(v5): Preauthentication failed while getting initial credentials.
這一步代表了已经可以和AD server做沟通了,但并不代表Samba Server已经加入域了。
2、smb.conf配置
#vi /etc/samba/smb.conf
#===================== Global Settings =========================
[global]
workgroup = TT # 一定要填自己的domain名称
netbios name = lamp #你的linux主机名
idmap uid = 15000-20000
idmap gid = 15000-20000
winbind enum groups = yes
winbind enum users = yes
winbind separator = /
; winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
; interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24
hosts allow =192.168.1. 127. 192.168.12. 192.168.13.
# ———————– Domain Members Options ————————
security = domain
; passdb backend = tdbsam
; realm = TT.COM #这里我觉得还是注释起好点
encrypt passwords = yes #这句是必须添加的,不然后面验证会提示不成功
password server = 192.168.1.142
[homes]
path = /home/%D/%U
browseable = no
writable = yes
valid users = tt.com/%U#这里记得把域名带上,否则你用ad帐号访问samba服务器时输入正确的ad帐号和密码仍然不能访问共享目录
create mode = 0777
directory mode = 0777
3、配置nsswitch.conf
#vi /etc/nsswitch.conf
修改以下位置
passwd: files winbind
shadow: files
group: files winbind
4、启用samba和winbind服务
service smb reload #加这一句是用来解决有时候samba启动不了的问题
service smb start
service winbind start
5、加入AD域
[root@lamp ~]# net rpc join -S rocdk890.tt.com -U administrator
Password:
Joined domain TT.
6、验证加入是否成功
[root@lamp ~]# net rpc testjoin
Join to 'TT' is OK
[root@lamp ~]# wbinfo -t
checking the trust secret via RPC calls succeeded
[root@lamp ~]# wbinfo -u
TT/administrator
TT/guest
TT/support_388945a0
TT/krbtgt
[root@lamp ~]# wbinfo -g
TT/domain computers
TT/domain controllers
TT/schema admins
TT/enterprise admins
TT/domain admins
TT/domain users
TT/domain guests
TT/group policy creator owners
TT/dnsupdateproxy
[root@lamp ~]# getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
nscd:x:28:28:NSCD Daemon:/:/sbin/nologin
vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
haldaemon:x:68:68:HAL daemon:/:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
TT/administrator:*:15000:15000:Administrator:/home/TT/administrator:/bin/bash
TT/guest:*:15001:15001:Guest:/home/TT/guest:/bin/bash
TT/support_388945a0:*:15002:15000:SUPPORT_388945a0:/home/TT/support_388945a0:/bin/bash
TT/krbtgt:*:15003:15000:krbtgt:/home/TT/krbtgt:/bin/bash
[root@lamp ~]# getent group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root
mail:x:12:mail
news:x:13:news
uucp:x:14:uucp
man:x:15:
games:x:20:
gopher:x:30:
dip:x:40:
ftp:x:50:
lock:x:54:
nobody:x:99:
users:x:100:
rpm:x:37:
dbus:x:81:
utmp:x:22:
mailnull:x:47:
smmsp:x:51:
nscd:x:28:
floppy:x:19:
vcsa:x:69:
rpc:x:32:
rpcuser:x:29:
nfsnobody:x:65534:
sshd:x:74:
pcap:x:77:
utempter:x:35:
slocate:x:21:
haldaemon:x:68:
ntp:x:38:
TT/domain computers:*:15002:
TT/domain controllers:*:15003:
TT/schema admins:*:15004:TT/administrator
TT/enterprise admins:*:15005:TT/administrator
TT/domain admins:*:15006:TT/administrator
TT/domain users:*:15000:
TT/domain guests:*:15001:
TT/group policy creator owners:*:15007:TT/administrator
TT/dnsupdateproxy:*:15008:
7、做完这些,就可以到AD server上的活动目录中看到该机器了。
接下来介绍加入AD域后的一个简单应用,要不就不知道这样加有啥子用了。既然samba服务器已经加入AD域中,那自然会想到,window域中的本地帐号是否能访问linux机器呢?答案是肯定的。这就是winbind的作用了,当window域中的本地帐号需要登录linux主机时,winbind服务去ad服务器去验证该帐号是否合法,而不是到linux本地的/etc/passwd中去验证,当然如果要用不同的验证方式,就可以用pam去进行复杂的设定.
8、配置/etc/pam.d/system_auth
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_unix.so broken_shadow
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_winbind.so
account required /lib/security/$ISA/pam_permit.so
password required /lib/security/$ISA/pam_cracklib.so retry=3
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_authok
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
配置/etc/pam.d/sshd,使用ad帐号登录时,自动创建/home/LIZL/ad帐号目录
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_limits.so
session required /lib/security/pam_mkhomedir.so
session optional /lib/security/pam_console.so
顺便配置下samba这个pam
#auth required pam_nologin.so
auth required pam_stack.so service=system-auth
account required pam_stack.so service=system-auth
#session required pam_stack.so service=system-auth
#session required pam_mkhomedir.so skel=/etc/skel umask=0022
#password required pam_stack.so service=system-auth
好了,接下来享受下用ad帐号登录linux主机的快乐吧。