我正在尝试使用以下命令在 Samba AD DC 中为其他 kerberos5(MIT)域添加域信任帐户:
net rpc trustdom add <域名> -UAdministrator%<管理员密码>
发生的情况是,该帐户已创建到 Samba ldap 数据库中,并且我可以在 Windows 11 机器中看到它。
该命令给出错误消息:
无法设置信任帐户密码:NT_STATUS_ACCESS_DENIED
使用命令 pdbedit -Lw <account_name>$ 我看到:
<帐户名称>$:3000052:无密码XXXXXXXXXXXXXXXXXXXXX:2D2C9A3DC21D9CAFD008D1232D77B9D0:[NDU]:LCT-6207FF7A:
根据 Samba Wiki 文档,[NDU] 应该是 [I]。
我的samba版本是:版本4.13.17-Ubuntu
我看不到与此事件相关的日志。我该如何调试?
——萨米·胡尔克
答案1
在最近的 Samba 版本中,尚未实现将 Kerberos5 添加到 Kerberos5 信任(单向或双向)的可能性。只有将 Samba 添加到 Samba 信任类型的可能性。net rpc trustdom add 命令仅支持域信任类型,而 Realm 信任只能通过 FreeIpa 等工具添加。此信任功能的文档有些残缺: https://wiki.samba.org/index.php/Active_Directory_Trusts指出目前唯一可行的信任类型是域到域信任。虽然在 MIT5 和 Heimdal kerberos5 系统中添加信任密钥是一项简单的任务,但尚未实现基于 kerberos5-Kerberos5 密钥的信任。