Estou trabalhando em um projeto para uma imagem padronizada do Linux para nossa organização. Esta imagem será unida ao domínio, e eu escrevi um script para disparar na inicialização que guiará a pessoa IST fazendo a configuração da máquina Linux através da associação.
Praticamente todos os guias que vi afirmam que você deve editar krb5.conf para refletir a estrutura do seu domínio do AD. No entanto, não há muita informação sobre por que isso é necessário, e descobri que sou capaz de realizar junções de domínio através de anúncios líquidos (em vez de net rpc) sem alterar o krb5.conf, tanto no Ubuntu 12.04 / 14.04 como no CentOS 6.5. Isso tem sido verdade tanto no Samba 3 quanto no Samba 4; nosso back-end do AD Acredito que agora é inteiramente o Servidor 2k8 e tem sido desde antes de eu começar este projeto.
Além disso, sou capaz de definir o pam_winbind com a opção krb5auth e ele cria corretamente o ticket do kerberos em / tmp; O wbinfo -K também funciona bem e cria um ticket Kerberos. Então, minha pergunta realmente é - o que o krb5.conf faz que estou perdendo? Qual impacto haverá se não estiver configurado? Será que os programas que usam o Kerberos para autenticar não serão capazes de fazê-lo, ou existe algum outro ponto mais sutil que eu não conheço (como o winbind que retorna a um método de autenticação baseado em RPC inseguro se krb5. conf não está correto?)
Tanto quanto eu saiba, você não precisa de krb5.conf a menos que queira usar os utilitários de linha de comando krb5-user . Não é necessário que um servidor de trabalho seja associado a um domínio a partir de um cliente Windows ou que utilize o Samba para acessar compartilhamentos, etc. Você nem precisa instalar o krb5-user para um sistema Samba funcional.