Samba/Kerberos：無法聯繫任何 KDC，Kerberos 不聽？

新建的獨立 AD DC（準備更換古老的 NT4 安裝的測試台）。16.04LTS 上新鮮且全面更新的 4.3.11。遵循 Samba wiki，很簡單。

根據警告，沒有弄亂 smb.conf：

[global]
       workgroup = REALM
       realm = REALM.DOMAIN.TLD
       netbios name = ADDC
       server role = active directory domain controller
       dns forwarder = 1.0.0.1
       idmap_ldb:use rfc2307 = yes

我一直使用 Samba 的內部 DNS 後端和 Kerberos 實現。我直接將配置期間生成的 krb5.conf 複製到 /etc，如下所示：

[libdefaults]
       default_realm = REALM.DOMAIN.TLD
       dns_lookup_realm = false
       dns_lookup_kdc = true

通過“驗證文件伺服器”和“驗證 DNS”的所有“將 Samba 設置為 Active Directory 域控制器”wiki 測試。我的意思是查詢 _ldap 和 _Kerberos SRV 記錄以及 ADDC 的記錄是成功的，並且解決方法是雙向的：

$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.

但是“驗證 Kerberos”測試仍然失敗：

$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials

顯然 Kerberos 是不可訪問的。$netstat 顯示沒有“krb”程序在任何埠上監聽，包括埠 88。沒有防火牆正在執行。

但是對於所有用於驗證 Kerberos 是否正在偵聽埠 88 的故障排除建議，如果不是，我找不到任何指示！

如何讓 Samba 的 Kerberos 執行？

Samba“特定於發行版的軟體包安裝” Wiki未指定 Active Directory 安裝需要在 Ubuntu 上顯式安裝 Kerberos

但它在 Debian 說明中，所以我試了一下，現在一切正常：

1. 安裝了缺少的 libpam-krb5
2. 重新配置域

引用自：https://serverfault.com/questions/920407