Active Directory：Server 2008 和 RHEL 5.10

如果这是重新发布，请见谅。我已经在 Google 上搜索并研究这个主题超过三周了，我一次又一次地遇到同样的问题，但我还没有设法解决它。

免责声明：尽管我在工作中被迫担任这个职位，但我并不是一名系统管理员。

我的任务是为我们的环境实施 Active Directory（在 Server 2008 上）配置，该环境包含 Windows XP、Windows 7、Server 2003、Server 2008、Server 2008 R2 和 Red Hat Enterprise 5.10 机箱。很简单。在线获取快速指南，设置测试 VM 服务器，将我的 Win7 客户端连接到我的新 AD。有效。

重复上述步骤，但尝试将 RHEL 5.10 VM 连接到 AD？不行。

我遵循了大约 3 个不同的“指南”，了解如何设置 Linux 以连接到 AD。更详尽的一个是：向 Windows 2008R2 验证 UNIX/Linux 具体来说，RHEL 设置：第 3 部分：RHEL 5.6

列出的攻击计划：

1. 让 ldapsearch 使用简单绑定，未加密
2. 配置 LDAP
3. 验证 LDAP 与 getent(1)、id(1) 等配合使用
4. 将根 CA 证书从 Windows 导出到 UNIX
5. 检查 CA 证书是否适用于 OpenSSL
6. 导入 CA 证书
7. 使用 ldapsearch 使 LDAPS 工作
8. 将 LDAP 更改为使用 LDAPS 而不是 LDAP
9. 验证 Kerberos 是否正常工作：最初，没有主机主体（krb5.keytab）
10. 配置 PAM 以使用 Kerberos（编辑 /etc/pam.conf）
11. 验证登录等服务是否可以使用 Kerberos 身份验证，以及密码是否有效
12. 在 Windows 中创建主机主体密钥表。将其导入 UNIX。
13. 验证 kinit -k 是否有效
14. 编辑 /etc/krb5/krb5.conf，在 [libdefaults] 部分包含“verify_ap_req_nofail = true”。这将确保 UNIX 机器的安全，以证明它正在与真正的 KDC 通信。
15. 使单点登录正常运行

逐字逐句地遵循这些步骤，更改 IP 和主机名以匹配我的测试环境。有一个例外：

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1

收到错误消息：获取指定用户的目标域。

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1$

用美元符号指定机器帐户，KTPASS 运行顺利，没有任何错误。

在我们测试 Kerberos 之前，一切都 100% 正常：

[root@rhelad ~]# kinit -k
kinit(v5): Client not found in Kerberos database while getting initial credentials

好的，谷歌一下错误，我们得到：

您的 kerberos 主体可能与您本地系统上的用户名不同。

凭证 krb5_get_init_creds_password() 失败：在 Kerberos 数据库中未找到客户端 请确保您输入了正确的名称并且服务器具有正确的名称（仔细检查用户的帐户选项卡，尤其是领域）

所以我检查、摆弄和谷歌搜索，但一无所获。据我所知，RHEL 上的配置是正确的，而且我在 AD 上创建了计算机和用户帐户，没有问题。

我在这里的假设是，我已经正确配置了 RHEL，但在 AD 上创建基于 RHEL 的客户端设置时出了点问题。是的，我已经启用并配置了 UNIX 属性，所以不是那样的。

有人能指点我/向我展示在 AD 上添加和配置 UNIX 计算机和用户的正确步骤吗？如果需要的话，我很乐意“转储”配置。