我们有一个 Debian 文件服务器,配置为使用 winbind 和 kerberos 提供 samba 共享。它配置为针对 Windows2003 DC 进行身份验证。
一切都运行良好,直到最近我对所有软件包进行了维护更新。从那时起,所有连接到任何共享的尝试(以及登录到框的尝试)都失败了。日志包含此消息,这似乎是问题的根源:
[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:get_krb5_smb_session_key(685) 获得长度为 16 的 KRB5 会话密钥 [2009/09/14 12:04:29, 10] libsmb/clikrb5.c:unwrap_pac(280) 授权数据不是 Windows PAC(类型:141) [2009/09/14 12:04:29, 3] libads/kerberos_verify.c:ads_verify_ticket(430) ads_verify_ticket:未检索到身份验证数据。继续,无需 PAC
从那时起,它无法在 DC 上找到用户帐户,随后将用户重新映射到用户 nobody,然后(正确地)拒绝授予对共享的访问权限。
但是,下面的方法可以正常工作:
wbinfo -a 用户%密码
我想知道是否有人遇到过这个问题,可以提供一些见解。我很乐意提供中和后的配置文件。
答案1
记不清我是如何让它工作的,但现在肯定是可以工作的。据我所记得,这与 Kerberos 中的领域和域实际上并不相同,并且在我们的域中实际上被设置为不同的值有关。