Samba
使用 Open Directory 通過 Kerberos 驗證 Samba 共享
我在名為“minime”(El Capitan,Server 5)的機器上有一個 Open Directory 主機。我還有一個“棘手”的 Samba 伺服器,執行 Ubuntu 和一個 Mac OS X 客戶端“wallace”。
我希望 wallace 上的使用者在通過 Kerberos 在 minime 上進行身份驗證時訪問棘手的文件。使用者都是 Open Directory 使用者,所以理論上他們應該在登錄 wallace 時都從 minime 獲得票證。
我以前有一個工作配置,唯一的變化是最小的變化是一個 Raspberry Pi,它通過 OpenLDAP 提供 Kerberos 票證和目錄服務。我已經用 Mac OS X 伺服器替換了 minime。
我現在正試圖讓該配置再次進入工作狀態,但我遇到了麻煩。
華萊士的使用者可以登錄,但不能訪問棘手的文件。登錄後,他們會收到一張票授權票。當試圖訪問棘手的文件時,會出現一個登錄框。訪客訪問將顯示可用共享,因此 Samba 已啟動。但是,Finder 將無法通過登錄使用者正確驗證。當明確選擇“連接為”並輸入目前使用者名和密碼時,授予票證的票證將被銷毀並且不允許訪問。
我在 Samba 日誌文件中沒有看到任何記錄。我會很高興指針。
我找到了解決這個問題的方法。關鍵點是在 OS X Server 上使用 kadmin 不足以創建可以通過 keytab 導出並在不同伺服器上使用的有效服務主體。
OS X Server 需要使用命令“krbservicesetup”。儘管手冊頁聲明它可以/應該只用於設置本地服務,但它成功地在另一台機器上為 Samba 創建了一個 keytab。
在此處查看 Apple 論壇上的聯機幫助頁和討論: