Недавно построенный автономный AD DC (испытательный стенд в рамках подготовки к замене устаревшей установки NT4). Свежая и полностью обновленная 4.3.11 от 16.04LTS. Последовал за вики-сайтами Samba, достаточно просто.
Не испортил smb.conf, согласно предупреждениям:
[global]
workgroup = REALM
realm = REALM.DOMAIN.TLD
netbios name = ADDC
server role = active directory domain controller
dns forwarder = 1.0.0.1
idmap_ldb:use rfc2307 = yes
Я остановился на внутреннем DNS-сервере Samba и реализации Kerberos. Я напрямую скопировал файл krb5.conf, созданный во время подготовки, в / etc, как указано:
[libdefaults]
default_realm = REALM.DOMAIN.TLD
dns_lookup_realm = false
dns_lookup_kdc = true
Прохождение всех вики-тестов «Настройка Samba в качестве контроллера домена Active Directory» для «Проверка файлового сервера» и «Проверка DNS». Под этим я подразумеваю запрос записей _ldap и _Kerberos SRV, а также запись ADDC успешна, и разрешение работает в обоих направлениях:
$ host DC
DC.realm.domain.tld has address 10.10.10.100
$ host 10.10.10.100
100.10.10.10.in-addr.arpa domain name pointer DC.realm.domain.tld.
Но тесты «Проверка Kerberos» по-прежнему не работают:
$ kinit
kinit: Cannot contact any KDC for realm 'REALM.DOMAIN.TLD' while getting initial credentials
Очевидно, что Kerberos недоступен. $ netstat показывает, что процесс "krb" не прослушивает ни один порт, включая порт 88. Брандмауэр не запущен.
Но несмотря на все советы по устранению неполадок, чтобы убедиться, что Kerberos прослушивает порт 88, я не могу найти указания, что делать, если это не так!
Как мне запустить Kerberos Samba?
Но это есть в инструкциях Debian, поэтому я попробовал, и теперь все работает:
Установлено отсутствует libpam-krb5
Повторно подготовленный домен