신뢰할 수 있는 Active Directory를 사용하여 Linux에 로그인

신뢰할 수 있는 Active Directory를 사용하여 Linux에 로그인하는 데 문제가 있습니다.

머신은 우리가 프로젝트를 담당하는 Active Directory에 연결되어 있지만 머신을 사용할 대부분의 사용자는 조직의 AD에 있습니다.

우리 프로젝트 AD에 호스팅된 사용자 계정을 사용하여 로그인할 수 있지만, 회사 AD의 사용자를 사용하여 로그인할 수 없습니다.

smb 구성 파일

# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
[global]
    workgroup = PROJECTDOMAIN
    passdb backend = tdbsam
    printing = cups
    printcap name = cups
    printcap cache time = 750
    cups options = raw
    map to guest = Bad User
    include = /etc/samba/dhcp.conf
    logon path = \\%L\profiles\.msprofile
    logon home = \\%L\%U\.9xprofile
    logon drive = P:
    usershare allow guests = No
    security = ADS
    idmap gid = 10000-20000
    idmap uid = 10000-20000
    realm = MYPROJECT.MYCOMPANY.COM
    template homedir = /home/%D/%U
    winbind refresh tickets = yes
    template shell = /bin/bash
    usershare max shares = 100
    winbind offline logon = yes
[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes
[profiles]
    comment = Network Profiles Service
    path = %H
    read only = No
    store dos attributes = Yes
    create mask = 0600
    directory mask = 0700
[users]
    comment = All users
    path = /home
    read only = No
    inherit acls = Yes
    veto files = /aquota.user/groups/shares/
[groups]
    comment = All groups
    path = /home/groups
    read only = No
    inherit acls = Yes
[printers]
    comment = All Printers
    path = /var/tmp
    printable = Yes
    create mask = 0600
    browseable = No
[print$]
    comment = Printer Drivers
    path = /var/lib/samba/drivers
    write list = @ntadmin root
    force group = ntadmin
    create mask = 0664
    directory mask = 0775

krb5.conf

[libdefaults]
    default_realm = MYPROJECT.MYCOMPANY.COM
    clockskew = 300
#   default_realm = EXAMPLE.COM 

[realms]
SAG.GOT.CAPGEMINI.COM = {
    kdc = ad02.myproject.mycompany.com
    default_domain = myproject.mycompany.com
    admin_server = ad02.myproject.mycompany.com
}
#   EXAMPLE.COM = {
#                kdc = kerberos.example.com
#       admin_server = kerberos.example.com
#   }

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON
[domain_realm]
    .myproject.mycompany.com = MYPROJECT.MYCOMPANY.COM
[appdefaults]
pam = {
    ticket_lifetime = 1d
    renew_lifetime = 1d
    forwardable = true
    proxiable = false
    minimum_uid = 1
    external = sshd
    use_shmem = sshd
    validate = false
}

이렇게 하려고 하면 (corp은 AD회사의 도메인입니다)

> wbinfo -a corp\\username

다음 메시지가 나타납니다.

plaintext password authectication failed
Could not authenticate user corp\\username whit plaintext password
challenge/response password authentication failed
error code was NT code 0xc0000413 (0xc0000413)
error message was: NT code 0xc0000413
Could not authenticate user corp\username with challenge/response

하지만 다음과 같이 할 수 있습니다.

키넷[이메일 보호됨]