linux – Ubuntu 12.04,Windows 2012 Active Directory集成,Kerberos无法解析服务主体

概述从字面上检查整个互联网后,我希望我可以在这里得到帮助. 我正在尝试将ubuntu 12.04服务器集成到具有nfs和单点登录的Windows 2012活动目录中. 建立： > srv02 Windows服务器 > srv03 Ubuntu文件服务器 > srv04 Ubuntu应用服务器 > domain：lettrich.local >领域：LETTRICH.LOCAL 什么有效 >使用dns 从字面上检查整个互联网后,我希望我可以在这里得到帮助.

我正在尝试将ubuntu 12.04服务器集成到具有nfs和单点登录的Windows 2012活动目录中.

建立：

> srv02 windows服务器
> srv03 Ubuntu文件服务器
> srv04 Ubuntu应用服务器
> domain：lettrich.local
>领域：LETTRICH.LOCAL

什么有效

>使用dns ntp和dhcp设置windows 2012 AD
> ubuntu服务器在广告中注册msktutil并获取

>用户的kerberos门票(例如,kinit [email protected]有效)
>和机器(kinit -k [email protected]工作),
> uID和gIDs使用AD上的UNIX身份管理和gssAPI上的sssd进行解析.

什么行不通：

>在srv03上托管的srv04上安装NFS共享.
>获得服务负责人的kerberos票.

例如.

sudo kdestroysudo kinit -kkinit: ClIEnt 'host/[email protected]' not found in Kerberos database while getting initial credentials

srv03上的krb5.keytab,srv04的模拟.

sudo kList -keKeytab name: file:/etc/krb5.keytabKVNO Principal---- --------------------------------------------------------------------------  10 [email protected] (arcfour-hmac)   10 [email protected] (aes128-cts-hmac-sha1-96)   10 [email protected] (aes256-cts-hmac-sha1-96)   10 nfs/[email protected] (arcfour-hmac)   10 nfs/[email protected] (aes128-cts-hmac-sha1-96)   10 nfs/[email protected] (aes256-cts-hmac-sha1-96)   10 host/[email protected] (arcfour-hmac)   10 host/[email protected] (aes128-cts-hmac-sha1-96)   10 host/[email protected] (aes256-cts-hmac-sha1-96)

nfs导出：

cat /etc/exports/export               gss/krb5(rw,fsID=0,no_subtree_check,sync,insecure,crossmnt,anonuID=65534,anongID=65534)/export/users           gss/krb5(rw,nohIDe,anongID=65534)/export/groups           gss/krb5(rw,anongID=65534)/export/share           gss/krb5(rw,anongID=65534)/export/backup           gss/krb5(rw,anongID=65534)

安装在srv04上

sudo mount -t nfs4 -o sec=krb5 srv03:/export /mnt

给了我错误

srv04 rpc.gssd[754]: ERROR: No credentials found for connection to server srv03

Active Directory将srv03和srv04都列为具有正确服务主体名称的域计算机.(名称相应更改)

service principal name = nfs/srv03.lettrich.local; host/srv03.lettrich.local

我的错误在哪里？ (是的,时间是同步的;-))

如有需要,将提供更多信息.

感谢所有提前帮助的人.

解决方法 首先,您应该直接注册并恢复新linux服务器的DNS记录.在windows域中注册.

其次,在linux服务器中将DNS解析器指向windows,并在linux中修改/ etc / hosts以获取正确的字段

第三,您必须安装Kerberos5和winbind应用程序/模块/库

四,配置/etc/krb5.conf：

[libdefaults]    default_realm = YOUR.FulL.DOMAIN.WITH.UPPER.CHARS[realms]    YOUR.FulL.DOMAIN.WITH.UPPER.CHARS = {            kdc = List of IPs windows domain servers            admin_server = one ip for master domain server    }[domain_realm]    your.full.comain.with.lover.chars = YOUR.FulL.DOMAIN.WITH.UPPER.CHARS[logging]#example logging    kdc = file:/var/log/kerberos/krb5kdc.log    admin_server = file:/var/log/kerberos/kadmin.log    default = file:/var/log/kerberos/krb5lib.log

五,配置/etc/samba/smb.conf：

[global]workgroup = YOUR.SHORT.DOMAIN.WITH.UPPER.CASEnetbios name = YOUR.SERVER.name.WITH.UPPER.CASE.WITHOUT.DOMAINrealm = YOUR.FulL.DOMAIN.WITH.UPPER.CHARSsecurity = adspassword server = windows.ip.server.what.allows.password.changewins server = as.above.supports.wins.messageswins proxy = nokerberos method = system keytabdedicated keytab file = /etc/krb5.keytabserver string = write what you want using %h as host namedns proxy = noIDmap config * : backend = rIDIDmap config * : range = 10000-20000winbind use default domain = Yeswinbind enum users = Yeswinbind enum groups = Yeswinbind nested groups = Yeswinbind separator = +winbind refresh tickets = yestemplate shell = /bin/bashtemplate homedir = /home/%D/%Upreferred master = noinherit acls = Yesmap acl inherit = Yesacl group control

第六,验证您是否能够临时使用任何用户连接：

wbinfo -t   #test onlynet getdomainsID  #should print local and domain IDentifIErwbinfo -u   #domain user List,may take long time for many userswbinfo -g   #domain group List

第七,创建密码永不过期且无法更改的技术用户帐户.其他人则默认.将该用户收集在单独的AD目录中:)

第八,生成keytab：

net ads keytab create -U [email protected]

然后检查/etc/krb5.keytab是否存在

现在您可以配置其他服务,特别是使用ntlm帮助程序.您可以使用以下方法测试连接：

ntlm_auth --username UPPER.CASE.SHORTname.DOMAIN+your.technical.username

写密码,你应该看到状态：

NT_STATUS_OK: Success (0x0)

现在您可以配置PAM来验证许多服务,但我没有这样做.我成功地使用apache2.2 ntlm身份验证配置.我看到了ssh和Xsession的pam配置.

主要思想是,只有winbind对Active Directory进行身份验证.所有其他服务以任何方式在本地验证winbind. Winbind是samba的一部分.如果你不需要samba,只安装winbind,这会安装一些samba库.

有时配置连接时,wbinfo无法连接.然后,您必须等待片刻信息传播5分钟或更长时间.

当然,所有mashines的时间应该是同步的.为此配置NTP.我正在使用debian,但ubuntu使所有类似于debian :)祝你好运.

总结

以上是内存溢出为你收集整理的linux – Ubuntu 12.04,Windows 2012 Active Directory集成,Kerberos无法解析服务主体全部内容，希望文章能够帮你解决linux – Ubuntu 12.04,Windows 2012 Active Directory集成,Kerberos无法解析服务主体所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。