在/etc/krb5.conf中,鉴于以下情况default_realm,应该[realms].default_domain指向default_realm域控制器 (DC) 还是密钥分发中心 (KDC)?
ada 和 adb 是 Windows Server DC 和 KDC。域成员是运行受支持的 Ubuntu Server 版本的系统,通过 Samba 和 Winbind 作为域成员加入。
DC 为通过 ssh 登录和访问驻留在 Ubuntu 服务器上的 SMB 共享提供身份验证。这用于控制哪些域用户和组可以或可以在各种 Ubuntu 服务器上访问。
例 1:
[libdefaults]
ticket_lifetime = 24h
default_realm = DEPT.EXMAMPLE.COM
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = false
dns_lookup_kdc = true
dns_fallback = yes
[realms]
DEPT.EXMAMPLE.COM = {
kdc = ada.dept.example.com
kdc = adb.dept.example.com
admin_server = ada.dept.example.com
master_kdc = ada.dept.example.com
default_domain = dept.example.com
}
[domain_realm]
.dept.example.com = DEPT.EXMAMPLE.COM
dept.example.com = DEPT.EXMAMPLE.COM
Ex2
[libdefaults]
ticket_lifetime = 24h
default_realm = DEPT.EXMAMPLE.COM
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = false
dns_lookup_kdc = true
dns_fallback = yes
[realms]
DEPT.EXMAMPLE.COM = {
kdc = ada.dept.example.com
kdc = adb.dept.example.com
admin_server = ada.dept.example.com
master_kdc = ada.dept.example.com
default_domain = dept.example.com
}
[domain_realm]
.dept.example.com = ADA.DEPT.EXMAMPLE.COM
dept.example.com = ADA.DEPT.EXMAMPLE.COM
两种配置似乎都适用于许多 Ubuntu 服务器,但我不明白为什么,或者哪个是正确的。
你的 ex1 正确,ex2 无效。
从手册页:
以及有关 DOMAIN_REALM 部分的详细信息:
所以它不能直接指向 (K)DC 而是指向一个领域,并且是一个比 default_realm 更具体的映射。在您的简单设置中,根本不需要它,因为
.dept.example.com = DEPT.EXMAMPLE.COM如果没有应用翻译条目,就会发生这种情况。想法
dept.example.com = DEPT.EXMAMPLE.COM可能会起作用,但我怀疑它是否需要,因为如果没有找到领域 EXMAMPLE.COM 的定义,则应使用指定的全局 default_realm。