私は私たちの組織のために標準化されたLinuxイメージプロジェクトを進めています。イメージはドメインに参加し、起動時に実行されるスクリプトを作成して、ISTの従業員に参加プロセスを通じてLinuxシステムを設定するように指示します。
私が見たほとんどのガイドでは、ADドメインの構造を反映するためにkrb5.confを編集する必要があると述べています。しかし、現在、これに関する情報はあまりありません。なぜこれは必須であり、Ubuntu 12.04/14.04およびCentOS 6.5では、krb5.confを変更せずに(ネットワークrpcの代わりに)ネットワーク広告を介してドメインに参加できます。これはSamba 3とSamba 4の両方に当てはまります。私は私たちのADバックエンドが排他的にServer 2k8であり、このプロジェクトを始める前からそうだったと思います。
また、 krb5auth オプションを使用して pam_winbind を設定し、/tmp で Kerberos チケットを正しく作成します。 wbinfo -K も正常に動作し、Kerberos チケットを生成します。だから私の質問は本当です。 krb5.confは私が見逃したどんな機能を実行しますか?設定しないとどうなりますか?認証にKerberosを使用するプログラムがこれを実行できないのか、それとも私が認識していない他の微妙な点があるのでしょうか(例:krb5.confが安全でないRPCベースの認証方法である場合、winbindは安全ではありません)。置換されます)RPC)? confが間違っていますか? )
ベストアンサー1
私が知っている限り、コマンドラインユーティリティをkrb5.conf使用したい場合以外はまったく必要ありません。krb5-userワーカーサーバーは、Windowsクライアントからドメインに参加したり、Sambaを使用して共有などにアクセスする必要はありません。krb5-user機能するSambaシステムをインストールする必要はありません。