我有 6 台 Ubuntu 14.04 伺服器加入 Active Directory(2003 網域功能等級 2008r2 架構),當網路介面配置為使用 DHCP 時,所有伺服器都運作正常。但這些伺服器上線時所在的網路沒有任何 DHCP 伺服器,因此它們必須使用靜態 IP 設定。我使用以下 PAM 配置進行身份驗證:
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so
/etc/krb5.conf
[realms]
MYDOMAIN.COM = {
}
[domain_realm]
.mydomain.com = MYDOMAIN.COM
mydomain.com = MYDOMAIN.COM
和我的 /etc/samba/smb.conf
[global]
security = ads
realm = MYDOMAIN.COM
workgroup = MYDOMAIN
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
當伺服器配置為使用 DHCP 時,所有這些工作正常,但現在使用靜態 IP,它不再工作。我不是 Linux 專家,但我甚至無法請求 kerberos 票證
kinit [email protected]
我收到一條錯誤訊息,指出它無法找到任何 kdc,但如果我嘗試在 krb5.conf 檔案中指定 kdc,則會收到以下錯誤:
kinit kdc reply did not match expectations while getting initial credentials
如果您需要我可能遺漏的更多信息,請發表評論(如前所述,沒有 Linux 專家):)
答案1
根據 Kerberos 的要求,為所有伺服器向 Windows 網域 DNS 新增正確的正向和反向項目。到目前為止,網域 DHCP 伺服器可能會自動執行此操作,但現在由於沒有 DHCP,因此不會發生此操作。
另請確保/etc/resolv.conf僅列出 Windows 網域 DNS 伺服器。