我们有一个 Debian 文件服务器,配置为使用 winbind 和 kerberos 提供 samba 共享。这被配置为针对 Windows2003 DC 进行身份验证。
直到最近我对所有软件包进行维护更新时,一切都运行良好。从那时起,所有连接到任何共享的尝试(以及只是登录到该框)都失败了。日志包含此消息,这似乎是邪恶的根源:
[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:get_krb5_smb_session_key(685) 获得长度为 16 的 KRB5 会话密钥 [2009/09/14 12:04:29, 10] libsmb/clikrb5.c:unwrap_pac(280) 授权数据不是 Windows PAC(类型:141) [2009/09/14 12:04:29, 3] libads/kerberos_verify.c:ads_verify_ticket(430) ads_verify_ticket:未检索到身份验证数据。在没有 PAC 的情况下继续
从那里开始,它无法在 DC 上找到用户帐户,随后将用户重新映射到用户 nobody,然后(正确地)拒绝授予对共享的访问权限。
但是,以下工作正常:
wbinfo -a 用户%密码
我想知道是否有人遇到过这个问题并可以提供一些见解。我很乐意提供中和的配置文件。
不太记得我是如何完成这项工作的,但它现在确实可以工作。据我所知,这与 kerberos 中的领域和域实际上并不相同并且实际上在我们的域中设置为不同的值有关。