7.5.2  krb5.conf配置文件配置示例

在配置ads模式Samba服务器时，/etc/krb5.conf配置文件是必须配置的。它作为Kerberos身份验证模块，可以使Samba服务器对Windows AD域有更好的支持。

在/etc/krb5.conf配置文件中主要是配置与域有关的项目，在RedHat Enterprise Linux 5系统中属于包krb5-libs-1.5-17.i386.rpm。打开/etc/krb5.conf配置文件，然后按以下格式进行修改并保存(本示例域名为lycb.local)：[logging]

default=FILE:/var/log/krb5libs.log

kdc=FILE:/var/log/krb5kdc.log

admin_server=FILE:/var/log/kadmind.log

[libdefaults]

default_realm=LYCB.LOCAL     # 指定默认域名

dns_lookup_realm=false# 指定无需

DNS解析域请求包

dns_lookup_kdc=ture# 指定允许

DNS解析kdc请求包

ticket_lifetime=24h# 指定Kerberos认证票证有效期

forwardable=yes# 允许转发解析请求

[realms]

LYCB.LOCAL= {

kdc=172.16.0.1:88           # 指定kdc服

务器和kdc服务端口

admin_server=172.16.0.1:749     # 指定域

控制器和管理端口

default_domain=lycb.local   # 指定默认域

}

[domain_realm]

.lycb.local=LYCB.LOCAL

lycb.local=LYCB.LOCAL

# 以上两条其实是设置一个域搜索范围，并通过这两个语句可以

使得域名与大小写无关

[kdc]

profile= /var/kerberos/krb5kdc/kdc.conf

[appdefaults]

pam= {

debug=false

ticket_lifetime=36000

renew_lifetime=36000

forwardable=true# 允许转发请求

krb4_convert=false

}

将以上内容("#"说明部分不需要粘贴)全部替换原/etc/krb5.conf配置文件中的原有内容并保存。但一定要注意其中各部分的领域名大小写不能写错，哪怕一个字母的大小写错了都不行。这一点非常重要。

这时可以用kinit命令来测试一下Samba服务器与Windows Server 2003域控制器间的通信是否正常，后面接一个Windows Server 2003域中已存在并启用的用户账户即可。如直接用域管理员账户administrator账户，则可输入该账户的以下命令(后面的域名一定要大写)：kinit  administrator@LYCB.COM

正常情况下会提示你输入administrator账户的密码，如下所示：[root@sambaserver ~]# kinit  administrator@LYCB.LOCAL

Password for administrator@LYCB.LOCAL:如果出现"kinit(v5): Cannot find KDC for requested realm while getting initial credentia"这样的错误提示，则可能是上面在administrator@LYCB.COM中的域名部分不是全部大写，或者是你在/etc/krb5.conf配置文件中有关领域名称配置的语句中的大小写输入错误，一定要按照本示例或者默认配置文件那样正确输入大写或小写域名。

【责任编辑：云霞 TEL：(010)68476606】

点赞 0