Desculpe por não escrever isso como um comentário, mas meu representante não é alto o suficiente para isso.
O que eu vejo é que você usa + como um separador para Domínio e Grupo, mas você não definiu o + como o separador winbind em sua configuração.
winbind separator = +
Você também está configurando o backend passdb para o tdbsam, que é um banco de dados local. Esta é provavelmente a razão pela qual sua autenticação do AD falha.
Tente definir o seguinte:
workgroup = [SHORTDOMAINNAME]
realm = [KERBEROS REALM / LONG DOMAIN NAME]
password server = [fqdn of your pdc]
winbind use default domain = yes
encrypt passwords = yes
security = ads
o reino e o grupo de trabalho devem estar todos em maiúsculas e corresponder ao seu arquivo 'krb5.conf'
krb5.conf:
[libdefaults]
default_realm = [KERBEROS REALM / LONG DOMAIN NAME]
dns_lookup_realm = true
dns_lookup_kdc = true
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des3-hmac-sha1
default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des3-hmac-sha1
clockskew = 300
forwardable = true
proxiable = true
[realms]
[KERBEROS REALM / LONG DOMAIN NAME] = {
kdc = [fqdn of your pdc]
default_domain = [long domain name lowercase]
}
[domain_realm]
.[long domain name lowercase] = [KERBEROS REALM / LONG DOMAIN NAME]
[long domain name lowercase] = [KERBEROS REALM / LONG DOMAIN NAME]
Você também pode verificar se tudo funciona com
wbinfo -u
e você deve ver a lista de usuários
wbinfo -g
para ver a lista de grupos.
Se você tiver grupos com espaços no nome, não se esqueça de colocá-los em "em usuários válidos
Espero que ajude