Samba

Samba/Kerberos:無法聯繫任何 KDC,Kerberos 不聽?

  • July 17, 2018

新建的獨立 AD DC(準備更換古老的 NT4 安裝的測試台)。16.04LTS 上新鮮且全面更新的 4.3.11。遵循 Samba wiki,很簡單。

根據警告,沒有弄亂 smb.conf:

[global]
       workgroup = REALM
       realm = REALM.DOMAIN.TLD
       netbios name = ADDC
       server role = active directory domain controller
       dns forwarder = 1.0.0.1
       idmap_ldb:use rfc2307 = yes

我一直使用 Samba 的內部 DNS 後端和 Kerberos 實現。我直接將配置期間生成的 krb5.conf 複製到 /etc,如下所示:

[libdefaults]
       default_realm = REALM.DOMAIN.TLD
       dns_lookup_realm = false
       dns_lookup_kdc = true

通過“驗證文件伺服器”和“驗證 DNS”的所有“將 Samba 設置為 Active Directory 域控制器”wiki 測試。我的意思是查詢 _ldap 和 _Kerberos SRV 記錄以及 ADDC 的記錄是成功的,並且解決方法是雙向的:

$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.

但是“驗證 Kerberos”測試仍然失敗:

$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials

顯然 Kerberos 是不可訪問的。$netstat 顯示沒有“krb”程序在任何埠上監聽,包括埠 88。沒有防火牆正在執行。

但是對於所有用於驗證 Kerberos 是否正在偵聽埠 88 的故障排除建議,如果不是,我找不到任何指示!

如何讓 Samba 的 Kerberos 執行?

Samba“特定於發行版的軟體包安裝” Wiki未指定 Active Directory 安裝需要在 Ubuntu 上顯式安裝 Kerberos

但它在 Debian 說明中,所以我試了一下,現在一切正常:

  1. 安裝了缺少的 libpam-krb5
  2. 重新配置域

引用自:https://serverfault.com/questions/920407