我目前面临的问题是,运行 Ubuntu 10.04 LTS 并安装了 samba 和 winbindd 的 Linux 机器无法加入由 Windows 2008 DC 管理的域。
Linux 配置可能没问题,因为我已在多个站点成功使用过它,运行 2008 和 2003 DC。我收到的错误(“libads/kerberos.c:加入域无效。客户端凭据已被撤销”)表明存在 kerberos 问题。
通常情况下,Linux 机器应该通过 NTLM 进行身份验证,并以此方式进行配置。我能想象它尝试 kerberos 的唯一原因是 DC 强制这样做。
您是否知道 Windows 2008 服务器的安全策略中是否有任何设置可以完全阻止 NTLM,强制使用 Kerberos?如果是,我在哪里可以找到此设置?
答案1
首先,检查组策略需要哪个版本的 NTLM。其次,机器上的时间是否同步?如果客户端和服务器上的时间相差很大,Kerberos 就会变得非常不稳定。
答案2
NTLM 在 Vista/2008 和 2008R2/win7 中默认是禁用的,它的安全性较低,尽管您可以使用 GPO 启用 NTLM。
通常在进行网络广告加入时,它使用 kerberos 而不是 NTLM。我会检查你的 /etc/krb5.conf
这也可能对你遇到的具体错误有所帮助http://technet.microsoft.com/en-us/library/bb463167.aspx
Clients’ credentials have been revoked while getting initial credentials
Application/Function: kinit
Potential Causes and Solution:
Can indicate that the user's account is locked or expired (account expired, not password expired).