分类: 系统运维
2011-10-20 00:03:08
在配置ads模式Samba服务器时,/etc/krb5.conf配置文件必须配置的。它是作为Kerberos身份验证模块,可以使Samba服务器对Windows AD域有更好的支持。
在/etc/krb5.conf配置文件主要是配置与域有名的项目,在RedHat Enterprise Linux 5系统中属于包krb5-libs-1.5-17.i386.rpm。打开/etc/krb5.conf配置文件,然后按下面格式进行修改并保存(本示例域名为lycb.local)。
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = LYCB.LOCAL # 指定默认领域名
dns_lookup_realm = false # 指定无需DNS解析领域请求包
dns_lookup_kdc = ture # 指定允许DNS解析kdc请求包
ticket_lifetime = 24h # 指定Kerberos认证票证有效期
forwardable = yes # 允许转发解析请求
[realms]
LYCB.LOCAL = {
kdc = 172.16.0.1:88 # 指定KDC服务器和KDC服务端口
admin_server = 172.16.0.1:749 # 指定域控制器和管理端口
default_domain = lycb.local # 指定默认域
}
[domain_realm]
.lycb.local = LYCB.LOCAL
lycb.local = LYCB.LOCAL
# 以上两条其实是设置一个领域搜索范围,并通过这两个语句可以使得领域名与大小写无关。
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true # 允许转发请求
krb4_convert = false
}
把以上内容(“#”说明部分无需要粘贴)全部替换原/etc/krb5.conf配置文件中的原有内容并保存。但一定要注意其中各部分的领域名大小写不能写错,哪怕一个字母的大小写错了都不行。这一点非常重要。
这时我们可以用kinit命令来测试一下Samba服务器与Windows Server 2003域控制器间的通信是否正常。后面接一下Windows Server 2003域中已存在并启用的用户账户即可。如直接用域管理员账户administrator账户,则可输入该账户的以下命令(后面的域名一定要大写):
Kinit administrator@LYCB.COM
正常情况下会提示你输入administrator账户的密码,如下所示。如果出现“kinit(v5): Cannot find KDC for requested realm while getting initial credentia”这样的错误提示,则可能是上面在administrator@LYCB.COM中的域名部分不是全部大写,或者是你在/etc/krb5.conf配置文件中有关领域名称配置语句中的大小写输入错误,一定要按照本示例,或者默认配置文件那样正确输入大写或小写域名。
[root@sambaserver ~]# kinit administrator@LYCB.LOCAL
Password for :
