Não é possível autenticar no AD usando o arquivo de cache Kinit não encontrado

2

Estou tentando configurar o Winbind com o PAM e o Kerberos para autenticar o CentOS 7 no diretório ativo.

Até agora, foi o que fiz:

yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir

yum -y install samba-winbind-modules

authconfig --disablecache --enablewinbind --enablewinbindauth --smbsecurity=ads --smbworkgroup={DOMAIN-NETBIOSNAME} --smbrealm={My.DOMAINCOM} --enablewinbindusedefaultdomain --winbindtemplatehomedir=/home/{my.domain.com}/%U --winbindtemplateshell=/bin/bash --enablekrb5 --krb5realm={MY.DOMAIN.COM} --enablekrb5kdcdns --enablekrb5realmdns --enablelocauthorize --enablemkhomedir --enablepamaccess --updateall

kinit -v my.username

Eu recebo a mensagem de erro abaixo quando tento obter um ticket do kerberos:

kinit: Credentials cache file '/tmp/krb5cc_0' not found while validating credential

Então eu tentei

touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username

O erro resultante é:

kinit: Bad format in credentials cache while validating credentials

Eu também tentei criar um usuário local com o mesmo nome do usuário do AD que estou tentando autenticar com o mesmo resultado. Abaixo está a saída sanitizada de /etc/krb5.conf .

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = {MY.DOMAIN.COM}
 default_ccache_name = FILE:/tmp/krb5cc_%{uid}
 dns_lookup_kdc = true

[realms]
 MY.DOMAIN.COM = {
  kdc = mypdc.my.domain.com
  admin_server = mypdc.my.domain.com
 }


[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
 {my.domain.com} = {MY.DOMAIN.COM}
 .{my.domain.com} = {MY.DOMAIN.COM}

O que estou fazendo de errado? O arquivo ccache deve ser gerado automaticamente por usuário? A seção [libdefaults] do arquivo krb5.conf foi originalmente usando o keyring do kernel com o mesmo erro inicial, então tentei usar um caminho de arquivo pensando que seria mais fácil.

    
por GrahamBond 06.12.2016 / 19:28

0 respostas