我正在为我们的组织开展一个标准化 Linux 映像项目。该映像将加入域,并且我编写了一个在启动时触发的脚本,该脚本将指导 IST 人员通过加入进行 Linux 计算机设置。
我见过的几乎所有指南都指出您必须编辑 krb5.conf 以反映您的 AD 域的结构。不过,目前并没有太多相关信息为什么这是必要的,而且我发现在 Ubuntu 12.04/14.04 和 CentOS 6.5 中,我可以通过网络广告(而不是网络 rpc)执行域加入,而无需更改 krb5.conf。 Samba 3 和 Samba 4 都是如此;我相信我们的 AD 后端现在完全是 Server 2k8,并且在我开始这个项目之前就已经是这样了。
此外,我可以使用 krb5auth 选项设置 pam_winbind,并且它可以在 /tmp 中正确创建 kerberos 票证; wbinfo -K 也可以正常工作并创建 Kerberos 票证。所以,我的问题实际上是 - krb5.conf 做了什么我错过的事情?如果不配置会有什么影响?是否只是使用 Kerberos 进行身份验证的程序无法执行此操作,或者是否还有其他一些我不知道的微妙点(例如,如果 krb5.conf 是基于 RPC 的不安全的身份验证方法,winbind 会回退到基于 RPC 的不安全方法)? conf 不正确吗?)
答案1
据我所知,krb5.conf除非您想使用krb5-user命令行实用程序,否则根本不需要。工作服务器不需要从 Windows 客户端加入域或使用 Samba 访问共享等。您甚至不需要安装krb5-user工作 Samba 系统。