AD DC autônoma recém-construída (bancada de teste em preparação para substituir a instalação venerável do NT4). Fresco e totalmente atualizado 4.3.11 em 16.04LTS. Wikis seguidos do Samba, simples o suficiente.
Não mexeu no smb.conf, por avisos:
[global]
workgroup = REALM
realm = REALM.DOMAIN.TLD
netbios name = ADDC
server role = active directory domain controller
dns forwarder = 1.0.0.1
idmap_ldb:use rfc2307 = yes
Eu fiquei com o backend de DNS interno do Samba e com a implementação do Kerberos. Eu copiei diretamente o krb5.conf produzido durante o provisionamento para / etc, conforme especificado:
[libdefaults]
default_realm = REALM.DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = true
Passar todos os testes "Configurando o Samba como um Controlador de Domínio do Active Directory" testa "Verificando o servidor de arquivos" e "Verificando o DNS". Por isso quero dizer consultar registros SRV _ldap e _erberos, bem como um registro de ADDC é bem-sucedido e resolução funciona nos dois sentidos:
$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.
Mas os testes "Verificando o Kerberos" ainda falham:
$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials
Obviamente, o Kerberos não está acessível. $ netstat não mostra nenhum processo "krb" em qualquer porta, incluindo a porta 88. Nenhum firewall está em execução.
Mas para todos os conselhos de solução de problemas para verificar se o Kerberos está escutando na porta 88, não consigo encontrar nenhuma direção sobre o que fazer se não estiver!
Como faço para que o Kerberos do Samba seja executado?
Mas está nas instruções do Debian, então eu tirei uma foto e agora tudo funciona:
Instalado ausente libpam-krb5
Domínio reprovisionado