Назад | Перейти на главную страницу

Ошибка аутентификации Active Directory в Ubuntu 14.04 после статической конфигурации IP

У меня есть 6 серверов Ubuntu 14.04, которые присоединены к активному каталогу (схема 2008r2 функционального уровня домена 2003). Все серверы работают нормально, когда сетевой интерфейс настроен на использование DHCP. Но сети, в которых эти серверы будут расположены, когда они будут запущены, не имеют каких-либо DHCP-серверов, поэтому они ДОЛЖНЫ использовать статическую конфигурацию IP. Я использую следующую конфигурацию PAM для аутентификации:

auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so

/etc/krb5.conf

[realms]
    MYDOMAIN.COM = {
    }
[domain_realm]
    .mydomain.com = MYDOMAIN.COM
    mydomain.com = MYDOMAIN.COM

и мой /etc/samba/smb.conf

[global]
        security = ads
        realm = MYDOMAIN.COM
        workgroup = MYDOMAIN
        winbind separator = +
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = yes
        winbind use default domain = yes
        restrict anonymous = 2

Все это отлично работает, когда серверы были настроены на использование DHCP, но теперь со статическим IP он больше не работает. Я не эксперт по Linux, но я даже не могу запросить билет Kerberos с

kinit administrator@MYDOMAIN.COM

Я получаю сообщение об ошибке, в котором говорится, что он не может найти какой-либо kdc, но если я попытаюсь указать kdc в файле krb5.conf, я получу следующую ошибку:

kinit kdc reply did not match expectations while getting initial credentials

Просто оставьте комментарий, если вам нужна дополнительная информация, которую я, возможно, упустил (как ранее упоминалось, не эксперт по Linux) :)

Добавьте правильные прямые и обратные записи в DNS домена Windows для всех серверов, так как они требуются Kerberos. Вероятно, что до сих пор DHCP-сервер домена делал это автоматически, теперь этого не происходит из-за отсутствия DHCP.

Также убедитесь /etc/resolv.conf перечисляет только DNS-серверы домена Windows.