kerberos5 无法验证

kerberos5 无法验证

我们有一个 Debian 文件服务器,配置为使用 winbind 和 kerberos 提供 samba 共享。它配置为针对 Windows2003 DC 进行身份验证。

一切都运行良好,直到最近我对所有软件包进行了维护更新。从那时起,所有连接到任何共享的尝试(以及登录到框的尝试)都失败了。日志包含此消息,这似乎是问题的根源:

[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:get_krb5_smb_session_key(685)
  获得长度为 16 的 KRB5 会话密钥
[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:unwrap_pac(280)
  授权数据不是 Windows PAC(类型:141)
[2009/09/14 12:04:29, 3] libads/kerberos_verify.c:ads_verify_ticket(430)
  ads_verify_ticket:未检索到身份验证数据。继续,无需 PAC

从那时起,它无法在 DC 上找到用户帐户,随后将用户重新映射到用户 nobody,然后(正确地)拒绝授予对共享的访问权限。

但是,下面的方法可以正常工作:

wbinfo -a 用户%密码

我想知道是否有人遇到过这个问题,可以提供一些见解。我很乐意提供中和后的配置文件。

答案1

记不清我是如何让它工作的,但现在肯定是可以工作的。据我所记得,这与 Kerberos 中的领域和域实际上并不相同,并且在我们的域中实际上被设置为不同的值有关。

相关内容