Samba

kerberos5 無法驗證

  • June 23, 2010

我們有一個 Debian 文件伺服器,配置為使用 winbind 和 kerberos 提供 samba 共享。這被配置為針對 Windows2003 DC 進行身份驗證。

直到最近我對所有軟體包進行維護更新時,一切都執行良好。從那時起,所有連接到任何共享的嘗試(以及只是登錄到該框)都失敗了。日誌包含此消息,這似乎是邪惡的根源:

[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:get_krb5_smb_session_key(685)
獲得長度為 16 的 KRB5 會話密鑰
[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:unwrap_pac(280)
授權數據不是 Windows PAC(類型:141)
[2009/09/14 12:04:29, 3] libads/kerberos_verify.c:ads_verify_ticket(430)
ads_verify_ticket:未檢索到身份驗證數據。在沒有 PAC 的情況下繼續

從那裡開始,它無法在 DC 上找到使用者帳戶,隨後將使用者重新映射到使用者 nobody,然後(正確地)拒絕授予對共享的訪問權限。

但是,以下工作正常:

wbinfo -a 使用者%密碼

我想知道是否有人遇到過這個問題並可以提供一些見解。我很樂意提供中和的配置文件。

不太記得我是如何完成這項工作的,但它現在確實可以工作。據我所知,這與 kerberos 中的領域和域實際上並不相同並且實際上在我們的域中設置為不同的值有關。

引用自:https://serverfault.com/questions/65087