Realmd 的小问题,
我使用领域加入和加入之前生成的 kerberos 令牌,
它在简单的 Active Directory 配置上工作正常
我的问题是领域加入必须使用来自跨域身份验证机制的 kerberos 令牌加入域
假设我有两个域:
A.grp 和 B.com,
A 和 B 之间存在信任关系(A 中的用户可以在 B 域内进行身份验证),
该关系在 krb5.conf 中如下所示:
[realms]
A.GRP ={
kdc = DC01.A.GRP
kdc = DC02.A.GRP
default_domain = a.grp
admin_server = DC01.A.GRP
}
B.COM = {
kdc = DC01.B.COM
default_domain = B.COM
admin_server = DC01.B.COM
}
[capaths]
A.GRP = {
B.COM
}
为用户创建 kerberos 令牌[电子邮件受保护]
加入是在 B.COM 上,如下所示:
join b.com
但领域创建了它自己的 krb5.conf,它仅向 B.COM 指出触发此类错误的情况:
Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-g6wFw4/krb5.d/adcli-krb5-conf-kJS7Pm
! Couldn't authenticate as machine account: MACHINE01: Client '[email protected]' not found in Kerberos database
我如何告诉领域使用跨域身份验证?