Samba / Kerberos: Não é possível entrar em contato com nenhum KDC, o Kerberos não está escutando?

2

AD DC autônoma recém-construída (bancada de teste em preparação para substituir a instalação venerável do NT4). Fresco e totalmente atualizado 4.3.11 em 16.04LTS. Wikis seguidos do Samba, simples o suficiente.

Não mexeu no smb.conf, por avisos:

[global]
        workgroup = REALM
        realm = REALM.DOMAIN.TLD
        netbios name = ADDC
        server role = active directory domain controller
        dns forwarder = 1.0.0.1
        idmap_ldb:use rfc2307 = yes

Eu fiquei com o backend de DNS interno do Samba e com a implementação do Kerberos. Eu copiei diretamente o krb5.conf produzido durante o provisionamento para / etc, conforme especificado:

[libdefaults]
        default_realm = REALM.DOMAIN.TLD
        dns_lookup_realm = false
        dns_lookup_kdc = true

Passar todos os testes "Configurando o Samba como um Controlador de Domínio do Active Directory" testa "Verificando o servidor de arquivos" e "Verificando o DNS". Por isso quero dizer consultar registros SRV _ldap e _erberos, bem como um registro de ADDC é bem-sucedido e resolução funciona nos dois sentidos:

$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.

Mas os testes "Verificando o Kerberos" ainda falham:

$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials

Obviamente, o Kerberos não está acessível. $ netstat não mostra nenhum processo "krb" em qualquer porta, incluindo a porta 88. Nenhum firewall está em execução.

Mas para todos os conselhos de solução de problemas para verificar se o Kerberos está escutando na porta 88, não consigo encontrar nenhuma direção sobre o que fazer se não estiver!

Como faço para que o Kerberos do Samba seja executado?

    
por feldmrob 11.07.2018 / 06:21

1 resposta

1

Samba "Instalação do pacote específica à distribuição" Wiki não especifica a instalação do Active Directory requer instalação explícita do Kerberos no Ubuntu

Mas está nas instruções do Debian, então eu tirei uma foto e agora tudo funciona:

  1. Instalado ausente libpam-krb5

  2. Domínio reprovisionado

por 17.07.2018 / 18:25