7.5.2  krb5.conf配置文件配置示例

在配置ads模式Samba服務(wù)器時(shí)，/etc/krb5.conf配置文件是必須配置的。它作為Kerberos身份驗(yàn)證模塊，可以使Samba服務(wù)器對(duì)Windows AD域有更好的支持。

在/etc/krb5.conf配置文件中主要是配置與域有關(guān)的項(xiàng)目，在RedHat Enterprise Linux 5系統(tǒng)中屬于包krb5-libs-1.5-17.i386.rpm。打開(kāi)/etc/krb5.conf配置文件，然后按以下格式進(jìn)行修改并保存（本示例 域名為lycb.local）：

[logging]  
 
         default = FILE:/var/log/krb5libs.log  
         kdc = FILE:/var/log/krb5kdc.log  
         admin_server = FILE:/var/log/kadmind.log  
 
[libdefaults]  
 
         default_realm = LYCB.LOCAL     # 指定默認(rèn)域名  
         dns_lookup_realm = false       # 指定無(wú)需
DNS解析域請(qǐng)求包  
         dns_lookup_kdc = ture          # 指定允許
DNS解析kdc請(qǐng)求包  
ticket_lifetime = 24h           # 指定Kerberos認(rèn)證票證有效期  
         forwardable = yes          # 允許轉(zhuǎn)發(fā)解析請(qǐng)求  
 
[realms]     
 
         LYCB.LOCAL = {  
          kdc = 172.16.0.1:88           # 指定kdc服
務(wù)器和kdc服務(wù)端口  
          admin_server = 172.16.0.1:749     # 指定域
控制器和管理端口  
          default_domain = lycb.local   # 指定默認(rèn)域  
         }  
 
[domain_realm]  
 
         .lycb.local = LYCB.LOCAL  
          lycb.local = LYCB.LOCAL  
 
# 以上兩條其實(shí)是設(shè)置一個(gè)域搜索范圍，并通過(guò)這兩個(gè)語(yǔ)句可以
使得域名與大小寫(xiě)無(wú)關(guān)  
 
[kdc]  
        profile = /var/kerberos/krb5kdc/kdc.conf  
 
[appdefaults]  
         pam = {  
          debug = false 
           ticket_lifetime = 36000 
           renew_lifetime = 36000 
           forwardable = true    # 允許轉(zhuǎn)發(fā)請(qǐng)求  
           krb4_convert = false 
         } 

將以上內(nèi)容（"#"說(shuō)明部分不需要粘貼）全部替換原/etc/krb5.conf配置文件中的原有內(nèi)容并保存。但一定要注意其中各部分的領(lǐng)域名大小寫(xiě)不能寫(xiě)錯(cuò)，哪怕一個(gè)字母的大小寫(xiě)錯(cuò)了都不行。這一點(diǎn)非常重要。

這時(shí)可以用kinit命令來(lái)測(cè)試一下Samba服務(wù)器與Windows Server 2003域控制器間的通信是否正常，后面接一個(gè)Windows Server 2003域中已存在并啟用的用戶賬戶即可。如直接用域管理員賬戶administrator賬戶，則可輸入該賬戶的以下命令（后面的域名一定要大寫(xiě)）：

kinit  administrator@LYCB.COM 

正常情況下會(huì)提示你輸入administrator賬戶的密碼，如下所示：

[root@sambaserver ~]# kinit  administrator@LYCB.LOCAL  
Password for administrator@LYCB.LOCAL: