我已经意识到配置Redhat 5.5为 PDC(主域控制器),并且客户端(Windows XP和Windows 2003)可以加入该领域。Linux 服务器的领域名称是EXAMPLE.COM。
目前当客户端(例如Windows 2003)加入时EXAMPLE.COM,从 抓取的数据包中Wireshark得知 dcerpc 协议中只有 NTLM 数据包,没有 kerberos 数据包。结论是客户端没有执行 kerberos 认证。我的 samba 配置文件 smb.conf 如下:
[global]
workgroup = SINF #my domain name
server string = Samba PDC Server
netbios name = SAMBA149 #my host name
local master = yes
preferred master = yes
domain master = yes
local master = yes
wins support = yes
os level = 100
domain logons = yes
logon drive = K:
logon script = startup.bat
time server = yes
admin users = root
logon path = \\%N\%U\profile
logon home = \\%N\%U
log file = /var/log/samba/log.%m
max log size = 50
security = user
passdb backend = tdbsam
[netlogon]
comment = Network Logon Service
path = /winhome/netlogon
writable = no
write list = root
follow symlinks = yes
guest ok = yes
[homes]
comment = Home Directiories
browseable = no
writable = yes
create mode = 0664
directory mode = 0775
[project]
comment = smbuser's project
path = /home/samba/project
browseable = yes
writeable = yes
write list = @users
接下来,我想在客户端加入 PDC 时执行 kerberos 身份验证,我该如何实现呢?如能得到任何帮助我将不胜感激!提前谢谢您!
答案1
看看他的:http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
说实话,不使用 Kerberos 的原因至少可以说有点复杂。以下是我脑海中浮现的一份快速检查清单:
- 客户端是否配置为使用 kerberos?当 kerberos 失败时,它们可能会回退到 NTLM。
- 您是否在 PDC 上配置了 kerberos?如果没有,samba 将无法使用 kerberos 身份验证。
- PDC 和客户端之间的时钟是否同步?Kerberos 对时间很挑剔。
- 您是否能够使用 kinit 成功获取 kerberos 凭据?如果不能,则说明您根本没有配置 kerberos。