新建独立 AD DC(测试平台,准备替换老旧的 NT4 安装)。16.04LTS 上全新且完全更新的 4.3.11。遵循 Samba wikis,非常简单。
还没有弄乱 smb.conf,根据警告:
[global]
workgroup = REALM
realm = REALM.DOMAIN.TLD
netbios name = ADDC
server role = active directory domain controller
dns forwarder = 1.0.0.1
idmap_ldb:use rfc2307 = yes
我继续使用 Samba 的内部 DNS 后端和 Kerberos 实现。我直接将配置期间生成的 krb5.conf 复制到 /etc,如下所示:
[libdefaults]
default_realm = REALM.DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = true
通过所有“将 Samba 设置为 Active Directory 域控制器”wiki 测试中的“验证文件服务器”和“验证 DNS”。我的意思是查询 _ldap 和 _Kerberos SRV 记录以及 ADDC 的 A 记录成功,并且解析双向有效:
$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.
但是“验证 Kerberos”测试仍然失败:
$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials
显然 Kerberos 是无法访问的。$netstat 显示没有“krb”进程在任何端口(包括端口 88)上监听。没有防火墙正在运行。
但是对于所有的故障排除建议,以验证 Kerberos 是否在监听端口 88,如果没有,我找不到该怎么做!
如何让 Samba 的 Kerberos 运行?
答案1
Samba“特定发行版的软件包安装”维基百科未指定 Active Directory 安装需要在 Ubuntu 上明确安装 Kerberos
但是它是在 Debian 说明中,因此我尝试了一下,现在一切正常:
安装缺失libpam-krb5
重新配置域