ich habe Probleme beim Zugriff auf den Kerberos. # kinit liefert obige Fehlermeldung. Das habe ich sowohl als Administrator als auch als root probiert.
Wie kann ich prüfen, warum kinit den KDC nicht erreicht bzw. ob Samba4 diesen Dienst korrekt bereit stellen kann? Den kinit-Befehl setze ich lokal auf dem DCM ab, auf dem auch Samba4 läuft.
Kerberos sollte hier in der Tat von Samba 4 bereitgestellt werden (dass die /var/lib/heimdal-kdc/kadmind.acl per default leer ist ist normal und in Ordnung).
Kerberos(bzw. der entsprechende Samba-Prozess) sollte lokal auf Port 88 lauschen:
wenn ich in der krb5.conf die localhost-IP 127.0.0.1 durch die 192.x.x.x IP ersetze, wird der KDC von kinit gefunden. Dazu muss noch nicht einmal Samba neu gestartet werden, scheinbar wird die krb5.conf unmittelbar bei jedem kinit-Aufruf ausgewertet.
Die 192.x.x.x IP ist bei mir in der UCR in den Variablen interfaces_eth0_address, ldap_server und nameserver1 hinterlegt. Dann muss ich sie wohl auch noch unter kerberos/kdc und kerberos/kpasswdserver eintragen, oder mache ich da etwas falsch?
Ich vermute eher, dass samba/interfaces/bindonly auf “yes” und samba/interfaces auf “eth0” stehen - kann das sein?
Dann wird Samba nicht mehr auf Loopback horchen.
In dem Fall können Sie vermutlich einfach kerberos/kdc auf die IP von eth0 setzen, ja. Standardmäßig sind obige Samba-Variablen nicht gesetzt, dann ist kerberos/kdc=127.0.0.1 (Loopback) der richtige Wert.
Die krb5.conf wird automatisch durch diese UCR-Variablen gefüllt, da es ein UCR-Template ist - manuelle Anpassungen an der Datei müssen Sie daher gar nicht durchführen.
edit:
“Richtiger” als den kerberos/kdc Default zu ändern wäre aber vermutlich, die Liste der Intefaces in samba/interfaces um “lo” zu erweitern:
ucr set samba/interfaces="$(ucr get samba/interfaces) lo"
[quote=“Petersen”]Ich vermute eher, dass samba/interfaces/bindonly auf “yes” und samba/interfaces auf “eth0” stehen - kann das sein?
Dann wird Samba nicht mehr auf Loopback horchen.
[/quote]
Genau so ist es.
[quote=“Petersen”]In dem Fall können Sie vermutlich einfach kerberos/kdc auf die IP von eth0 setzen, ja. Standardmäßig sind obige Samba-Variablen nicht gesetzt, dann ist kerberos/kdc=127.0.0.1 (Loopback) der richtige Wert.
Die krb5.conf wird automatisch durch diese UCR-Variablen gefüllt, da es ein UCR-Template ist - manuelle Anpassungen an der Datei müssen Sie daher gar nicht durchführen.
[/quote]
Die manuelle Änderung hatte ich testhalber durchgeführt.
Habe ich so umgesetzt; jetzt horcht Samba wunschgemäß auf lo, und kinit findet seinen KDC