Estou tentando configurar o Winbind com o PAM e o Kerberos para autenticar o CentOS 7 no diretório ativo.
Até agora, foi o que fiz:
yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir
yum -y install samba-winbind-modules
authconfig --disablecache --enablewinbind --enablewinbindauth --smbsecurity=ads --smbworkgroup={DOMAIN-NETBIOSNAME} --smbrealm={My.DOMAINCOM} --enablewinbindusedefaultdomain --winbindtemplatehomedir=/home/{my.domain.com}/%U --winbindtemplateshell=/bin/bash --enablekrb5 --krb5realm={MY.DOMAIN.COM} --enablekrb5kdcdns --enablekrb5realmdns --enablelocauthorize --enablemkhomedir --enablepamaccess --updateall
kinit -v my.username
Eu recebo a mensagem de erro abaixo quando tento obter um ticket do kerberos:
kinit: Credentials cache file '/tmp/krb5cc_0' not found while validating credential
Então eu tentei
touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username
O erro resultante é:
kinit: Bad format in credentials cache while validating credentials
Eu também tentei criar um usuário local com o mesmo nome do usuário do AD que estou tentando autenticar com o mesmo resultado. Abaixo está a saída sanitizada de /etc/krb5.conf
.
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = {MY.DOMAIN.COM}
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
dns_lookup_kdc = true
[realms]
MY.DOMAIN.COM = {
kdc = mypdc.my.domain.com
admin_server = mypdc.my.domain.com
}
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
{my.domain.com} = {MY.DOMAIN.COM}
.{my.domain.com} = {MY.DOMAIN.COM}
O que estou fazendo de errado? O arquivo ccache deve ser gerado automaticamente por usuário? A seção [libdefaults]
do arquivo krb5.conf foi originalmente usando o keyring do kernel com o mesmo erro inicial, então tentei usar um caminho de arquivo pensando que seria mais fácil.