我们想通过 autofs 挂载共享。我们认为没什么特别的。但是:这必须在某些复杂的活动目录情况下完成。我们拥有:集成的 Ubuntu 14.04 工作站,用户可以在其上使用他们的 Windows 凭据登录。大部分工作是使用 sssd 完成的,它还会在登录时创建 kerberos 票证。
现在:我们想使用此票来验证网络共享。
复杂情况是:AD 基于许多位置名称约定。以下配置是匿名的。 问题:
安装尝试失败,显示:
cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_594111_644IQv
cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_594111_644IQv is valid ccache
cifs.upcall: handle_krb5_mech: getting service ticket for shareserver.sub.example.org
cifs.upcall: cifs_krb5_get_req: unable to get credentials for shareserver.sub.example.org
cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377)
cifs.upcall: Unable to obtain service ticket
因此,kerberos 票证用于[电子邮件保护]生成。但我们想连接到 SHARESERVER.SUB.EXAMPLE.ORG
我们的 kerberos 票证是否无效,无法连接到服务器,或者这是一个配置错误的 kerberos 系统,它无法从 sub.example.com 链接到 example.com。
Krb5.conf:
[libdefaults]
default_realm = EXAMPLE.COM
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[login]
krb4_convert = true
krb4_get_tickets = false