Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2114013
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-20 00:03:08

在配置ads模式Samba服务器时,/etc/krb5.conf配置文件必须配置的。它是作为Kerberos身份验证模块,可以使Samba服务器Windows AD有更好的支持。

/etc/krb5.conf配置文件主要是配置与域有名的项目,在RedHat Enterprise Linux 5系统中属于包krb5-libs-1.5-17.i386.rpm。打开/etc/krb5.conf配置文件,然后按下面格式进行修改并保存(本示例域名为lycb.local)。

[logging]

 

         default = FILE:/var/log/krb5libs.log

         kdc = FILE:/var/log/krb5kdc.log

         admin_server = FILE:/var/log/kadmind.log

 

[libdefaults]

 

         default_realm = LYCB.LOCAL     # 指定默认领域名

         dns_lookup_realm = false    #  指定无需DNS解析领域请求包

         dns_lookup_kdc = ture      #  指定允许DNS解析kdc请求包

ticket_lifetime = 24h      #  指定Kerberos认证票证有效期

         forwardable = yes     #  允许转发解析请求

 

[realms]  

 

         LYCB.LOCAL = {

          kdc = 172.16.0.1:88   # 指定KDC服务器和KDC服务端口

          admin_server = 172.16.0.1:749  #  指定域控制器和管理端口

          default_domain = lycb.local   #  指定默认域

         }

 

[domain_realm]

 

         .lycb.local = LYCB.LOCAL

          lycb.local = LYCB.LOCAL

 

#  以上两条其实是设置一个领域搜索范围,并通过这两个语句可以使得领域名与大小写无关。

 

[kdc]

        profile = /var/kerberos/krb5kdc/kdc.conf

 

[appdefaults]

         pam = {

          debug = false

           ticket_lifetime = 36000

           renew_lifetime = 36000

           forwardable = true    #  允许转发请求

           krb4_convert = false

         }

把以上内容(“#”说明部分无需要粘贴)全部替换原/etc/krb5.conf配置文件中的原有内容并保存。但一定要注意其中各部分的领域名大小写不能写错,哪怕一个字母的大小写错了都不行。这一点非常重要。

这时我们可以用kinit命令来测试一下Samba服务器与Windows Server 2003域控制器间的通信是否正常。后面接一下Windows Server 2003域中已存在并启用的用户账户即可。如直接用域管理员账户administrator账户,则可输入该账户的以下命令(后面的域名一定要大写):

Kinit  administrator@LYCB.COM

正常情况下会提示你输入administrator账户的密码,如下所示。如果出现kinit(v5): Cannot find KDC for requested realm while getting initial credentia”这样的错误提示,则可能是上面在administrator@LYCB.COM中的域名部分不是全部大写,或者是你在/etc/krb5.conf配置文件中有关领域名称配置语句中的大小写输入错误,一定要按照本示例,或者默认配置文件那样正确输入大写或小写域名。

[root@sambaserver ~]# kinit  administrator@LYCB.LOCAL

Password for :

本文摘自《(金牌网管师——大中型企业网络组建》第七章
阅读(17885) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~