我的情况如下:
我们有大量的Linux用户,因此我们的帐户在MIT Kerberos服务器上。 我们有几个Windows用户,他们的帐户在Windows AD中。 而且我们有越来越多的有时使用这两个系统的用户。
我们希望Linux用户能够login到Windows机器。 由于Linux用户的数量非常大,因此将帐户迁移到AD不是一种select。
所以我继续前进,创build了一个双方存在的testing用户/校长。 我还创build了AD和MIT Realm之间的(双向)信任关系,从Linux端成功地进行了testing。 然后,我使用ksetup来设置Windows机器来识别外国领域
ksetup default realm = ad.domain (NT Domain) LINUX.REALM: kdc = kdc.linux.realm kpasswd = kdc.linux.realm Realm Flags = 0x0No Realm Flags Mapping all users (*) to a local account by the same name (*). 检查退货
nltest /TRUSTED_DOMAINS List of domain trusts: 0: LINUX.REALM (MIT) (Direct Outbound) (Direct Inbound) ( Attr: non-trans ) 1: AD ad.domain (NT 5) (Forest Tree Root) (Primary Domain) (Native) The command completed successfully
但是我不能以[email protected]身份login到Linux客户端,也不能从Windows端获得票据。 Linux Kerberos日志显示没有TGT请求。
我也为用户ad \ test设置altSecurityIdentities为kerberos:[email protected]
我错过了什么?
干
ksetup /addhosttorealmmap .dns.domain LINUX.REALM
解决这个问题