Samba/Kerberos:无法联系任何 KDC,Kerberos 没有监听?

Samba/Kerberos:无法联系任何 KDC,Kerberos 没有监听?

新建独立 AD DC(测试平台,准备替换老旧的 NT4 安装)。16.04LTS 上全新且完全更新的 4.3.11。遵循 Samba wikis,非常简单。

还没有弄乱 smb.conf,根据警告:

[global]
        workgroup = REALM
        realm = REALM.DOMAIN.TLD
        netbios name = ADDC
        server role = active directory domain controller
        dns forwarder = 1.0.0.1
        idmap_ldb:use rfc2307 = yes

我继续使用 Samba 的内部 DNS 后端和 Kerberos 实现。我直接将配置期间生成的 krb5.conf 复制到 /etc,如下所示:

[libdefaults]
        default_realm = REALM.DOMAIN.TLD
        dns_lookup_realm = false
        dns_lookup_kdc = true

通过所有“将 Samba 设置为 Active Directory 域控制器”wiki 测试中的“验证文件服务器”和“验证 DNS”。我的意思是查询 _ldap 和 _Kerberos SRV 记录以及 ADDC 的 A 记录成功,并且解析双向有效:

$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.

但是“验证 Kerberos”测试仍然失败:

$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials

显然 Kerberos 是无法访问的。$netstat 显示没有“krb”进程在任何端口(包括端口 88)上监听。没有防火墙正在运行。

但是对于所有的故障排除建议,以验证 Kerberos 是否在监听端口 88,如果没有,我找不到该怎么做!

如何让 Samba 的 Kerberos 运行?

答案1

Samba“特定发行版的软件包安装”维基百科未指定 Active Directory 安装需要在 Ubuntu 上明确安装 Kerberos

但是它是在 Debian 说明中,因此我尝试了一下,现在一切正常:

  1. 安装缺失libpam-krb5

  2. 重新配置域

相关内容