Назад | Перейти на главную страницу

Невозможно пройти аутентификацию в AD с помощью Kinit - файл кеша не найден

Я пытаюсь настроить Winbind с PAM и Kerberos для аутентификации CentOS 7 в активном каталоге.

Пока что я сделал следующее:

yum -y install authconfig krb5-workstation pam_krb5 samba-common oddjob-mkhomedir

yum -y install samba-winbind-modules

authconfig --disablecache --enablewinbind --enablewinbindauth --smbsecurity=ads --smbworkgroup={DOMAIN-NETBIOSNAME} --smbrealm={My.DOMAINCOM} --enablewinbindusedefaultdomain --winbindtemplatehomedir=/home/{my.domain.com}/%U --winbindtemplateshell=/bin/bash --enablekrb5 --krb5realm={MY.DOMAIN.COM} --enablekrb5kdcdns --enablekrb5realmdns --enablelocauthorize --enablemkhomedir --enablepamaccess --updateall

kinit -v my.username

Когда я пытаюсь получить билет Kerberos, я получаю следующее сообщение об ошибке:

kinit: файл кеша учетных данных '/ tmp / krb5cc_0' не найден при проверке учетных данных

Так что я попробовал

touch /tmp/krb5cc_0 && chmod 777 /tmp/krb5cc_0 && kinit -v my.username

Результирующая ошибка:

kinit: неверный формат в кеше учетных данных при проверке учетных данных

Я также попытался создать локального пользователя с тем же именем, что и пользователь AD, которого я пытаюсь аутентифицировать, с тем же результатом. Ниже приведен очищенный вывод /etc/krb5.conf.

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = {MY.DOMAIN.COM}
 default_ccache_name = FILE:/tmp/krb5cc_%{uid}
 dns_lookup_kdc = true

[realms]
 MY.DOMAIN.COM = {
  kdc = mypdc.my.domain.com
  admin_server = mypdc.my.domain.com
 }


[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
 {my.domain.com} = {MY.DOMAIN.COM}
 .{my.domain.com} = {MY.DOMAIN.COM}

Что я делаю не так? Предполагается, что файл ccache автоматически создается для каждого пользователя? В [libdefaults] Раздел файла krb5.conf изначально использовал связку ключей ядра с той же начальной ошибкой, поэтому я попытался использовать путь к файлу, думая, что это будет проще.