我有 6 台 Ubuntu 14.04 服务器加入了活动目录(2003 域功能级别 2008r2 架构),当网络接口配置为使用 DHCP 时,所有服务器都可以正常工作。但是这些服务器上线时将位于的网络没有任何 DHCP 服务器,因此他们必须使用静态 ip 配置。我正在使用以下 PAM 配置进行身份验证:
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so
/etc/krb5.conf
[realms]
MYDOMAIN.COM = {
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
和我的 /etc/samba/smb.conf
[global]
security = ads
realm = MYDOMAIN.COM
workgroup = MYDOMAIN
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
当服务器配置为使用 DHCP 但现在使用静态 ip 时,所有这些都可以正常工作。我不是 linux 专家,但我什至无法请求 kerberos 票证
kinit [email protected]
我收到一条错误消息,指出它无法找到任何 kdc,但如果我尝试在 krb5.conf 文件中指定 kdc,则会收到以下错误:
kinit kdc reply did not match expectations while getting initial credentials
如果您需要我可能遗漏的更多信息,请发表评论(如前所述,没有 linux 专家):)
为所有服务器向 Windows 域 DNS 添加正确的正向和反向条目,因为 Kerberos 需要它们。到目前为止,域 DHCP 服务器很可能会自动执行此操作,现在由于没有 DHCP 而不会发生。
还要确保
/etc/resolv.conf仅列出 Windows 域 DNS 服务器。