Problem:
Bei einer Kerio Connect Neuinstallation unter CentOS 7 war kein Active Directory Login der zugeordneten Benutzer möglich. Der Server war in die Domäne aufgenommen, die AD-Anbindung von Kerio Connect zur Domäne funktioniert, AD-Benutzer ließen sich importieren.
Bei dem Login gab es aber ungeklärte Probleme (Kerberos Fehler 0x16 Server not yet valid – try again later)
Lösung:
Quelle: https://docs.inuvika.com/active_directory_sso_using_kerberos/
Archiv: http://archive.is/f1SOr
Die Hauptschritte (Install and Configure Kerberos; Joining the Domain) etwas verkürzt dargestellt:
Installation und Konfiguration von Kerberos
Kerberos Workstation installieren:
yum install krb5-workstation
Neuerstellung der /etc/krb5.conf
[libdefaults]
default_realm=TEST.DEMO
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
fcc-mit-ticketflags = true
default_keytab_name = FILE:/etc/krb5.keytab
[realms]
test.demo = {
kdc = dc.test.demo
master_kdc = dc.test.demo
admin_server = dc.test.demo
default_domain = test.demo
}
[domain_realm]
test.demo = TEST.DEMO
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
Die Platzhalter TEST.DEMO dc.test.demo, etc müssen entsprechend ersetzt werden.
Beitreten der Domäne
Samba Client installieren:
yum install samba-client
Die Konfigurationsdatei erstellen /etc/samba/smb.conf
[global]
netbios name = osm
realm = TEST.DEMO
security = ADS
encrypt passwords = yes
password server = dc.test.demo
workgroup = TEST
kerberos method = dedicated keytab
dedicated keytab file = /etc/krb5.keytab
Wieder müssen die Platzhalter ersetzt werden.
Zum Beitreten der Domäne benötigen wir den Befehl net ads join:
net ads join -U administrator@TEST.DEMO