저는 우리 조직을 위해 표준화된 Linux 이미지 프로젝트를 진행하고 있습니다. 이미지는 도메인에 가입될 것이며 부팅 시 실행되는 스크립트를 작성하여 IST 직원이 가입 과정을 통해 Linux 시스템을 설정하도록 안내할 것입니다.
내가 본 거의 모든 가이드에서는 AD 도메인의 구조를 반영하기 위해 krb5.conf를 편집해야 한다고 명시하고 있습니다. 그러나 현재 이에 대한 정보는 많지 않습니다.왜이는 필수이며 Ubuntu 12.04/14.04 및 CentOS 6.5에서는 krb5.conf를 변경하지 않고도 (네트워크 rpc 대신) 네트워크 광고를 통해 도메인 가입을 수행할 수 있다는 것을 알았습니다. 이는 Samba 3과 Samba 4 모두에 해당됩니다. 저는 우리의 AD 백엔드가 이제 독점적으로 Server 2k8이며 이 프로젝트를 시작하기 전부터 그랬다고 생각합니다.
또한 krb5auth 옵션을 사용하여 pam_winbind를 설정할 수 있으며 /tmp에서 Kerberos 티켓을 올바르게 생성합니다. wbinfo -K도 제대로 작동하고 Kerberos 티켓을 생성합니다. 그래서 제 질문은 사실입니다. krb5.conf는 제가 놓친 어떤 기능을 수행합니까? 구성하지 않으면 어떤 영향을 미치나요? 인증을 위해 Kerberos를 사용하는 프로그램이 이 작업을 수행하지 못하는 걸까요, 아니면 제가 인식하지 못하는 다른 미묘한 점이 있는 걸까요(예: krb5.conf가 안전하지 않은 RPC 기반 인증 방법인 경우 winbind는 안전하지 않은 방법으로 대체됩니다) RPC)? conf가 올바르지 않습니까? )
답변1
내가 아는 한, 명령줄 유틸리티를 krb5.conf사용하려는 경우가 아니면 전혀 필요하지 않습니다. krb5-user작업자 서버는 Windows 클라이언트에서 도메인에 가입하거나 Samba를 사용하여 공유 등에 액세스할 필요가 없습니다. krb5-user작동하는 Samba 시스템을 설치할 필요도 없습니다 .