У нас есть файловый сервер Debian, настроенный для обслуживания общих ресурсов samba с использованием winbind и kerberos. Он настроен для проверки подлинности на контроллере домена Windows2003.
Все работало нормально до недавнего времени, когда я сделал обновление для всех пакетов. С тех пор все попытки подключиться к любому из общих ресурсов (а также просто войти в ящик) терпят неудачу. Журналы содержат это сообщение, которое, кажется, лежит в основе зла:
[2009/09/14 12:04:29, 10] libsmb/clikrb5.c:get_krb5_smb_session_key(685) Got KRB5 session key of length 16 [2009/09/14 12:04:29, 10] libsmb/clikrb5.c:unwrap_pac(280) authorization data is not a Windows PAC (type: 141) [2009/09/14 12:04:29, 3] libads/kerberos_verify.c:ads_verify_ticket(430) ads_verify_ticket: did not retrieve auth data. continuing without PAC
После этого ему не удается найти учетную запись пользователя на контроллере домена, впоследствии он переназначает пользователя на пользователя none, а затем (справедливо) отказывается предоставить доступ к общему ресурсу.
Однако следующее работает нормально:
wbinfo -a user%password
Мне было интересно, была ли у кого-нибудь эта проблема и может ли она дать некоторое представление. Буду рад предоставить нейтрализованные файлы конфигурации.
Не могу вспомнить, как я сделал эту работу, но сейчас она определенно работает. Насколько я помню, это было связано с тем фактом, что в kerberos область и домен на самом деле не одно и то же, и на самом деле в нашем домене были установлены разные значения.