7.5.2 krb5.conf配置文件配置示例

7.5.2  krb5.conf配置文件配置示例

在配置ads模式Samba服务器时，/etc/krb5.conf配置文件是必须配置的。它作为Kerberos身份验证模块，可以使Samba服务器对Windows AD域有更好的支持。

在/etc/krb5.conf配置文件中主要是配置与域有关的项目，在RedHat Enterprise Linux 5系统中属于包krb5-libs-1.5-17.i386.rpm。打开/etc/krb5.conf配置文件，然后按以下格式进行修改并保存（本示例 域名为lycb.local）：

[logging]

         default = FILE:/var/log/krb5libs.log
         kdc = FILE:/var/log/krb5kdc.log
         admin_server = FILE:/var/log/kadmind.log

[libdefaults]

         default_realm = LYCB.LOCAL     # 指定默认域名
         dns_lookup_realm = false       # 指定无需DNS解析域请求包
         dns_lookup_kdc = ture          # 指定允许DNS解析kdc请求包
ticket_lifetime = 24h           # 指定Kerberos认证票证有效期
         forwardable = yes          # 允许转发解析请求

[realms]

         LYCB.LOCAL = {
          kdc = 172.16.0.1:88           # 指定kdc服务器和kdc服务端口
          admin_server = 172.16.0.1:749     # 指定域控制器和管理端口
          default_domain = lycb.local   # 指定默认域
         }

[domain_realm]

         .lycb.local = LYCB.LOCAL
          lycb.local = LYCB.LOCAL

# 以上两条其实是设置一个域搜索范围，并通过这两个语句可以使得域名与大小写无关

[kdc]
        profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
         pam = {
          debug = false
           ticket_lifetime = 36000
           renew_lifetime = 36000
           forwardable = true    # 允许转发请求
           krb4_convert = false
         }

将以上内容（"#"说明部分不需要粘贴）全部替换原/etc/krb5.conf配置文件中的原有内容并保存。但一定要注意其中各部分的领域名大小写不能写错，哪怕一个字母的大小写错了都不行。这一点非常重要。

这时可以用kinit命令来测试一下Samba服务器与Windows Server 2003域控制器间的通信是否正常，后面接一个Windows Server 2003域中已存在并启用的用户账户即可。如直接用域管理员账户administrator账户，则可输入该账户的以下命令（后面的域名一定要大写）：

kinit  administrator@LYCB.COM

正常情况下会提示你输入administrator账户的密码，如下所示：

[root@sambaserver ~]# kinit  administrator@LYCB.LOCAL
Password for administrator@LYCB.LOCAL:

如果出现"kinit(v5): Cannot find KDC for requested realm while getting initial credentia"这样的错误提示，则可能是上面在administrator@LYCB.COM中的域名部分不是全部大写，或者是你在/etc/krb5.conf配置文件中有关领域名称配置的语句中的大小写输入错误，一定要按照本示例或者默认配置文件那样正确输入大写或小写域名。