документація<Попередній | зміст | Наступна>
5.3. Конфігурація Kerberos
Встановлення krb5-користувач запитає ім’я області (ВСЕ ВЕЛИКІ РЕГІСТРИ), сервер kdc (тобто контролер домену) та сервер адміністратора (у цьому прикладі також контролер домену). Це запише розділи [realm] і [domain_realm] у /etc/krb5.conf. Ці розділи можуть не знадобитися, якщо автоматичне виявлення домену працює. Якщо ні, то потрібні обидва.
Якщо домен є myubuntu.example.com, увійдіть у царство як MYUBUNTU.EXAMPLE.COM
За бажанням, редагувати /etc/krb5.conf з кількома додатковими налаштуваннями для визначення терміну життя квитка Kerberos (ці значення безпечно використовувати за умовчанням):
[libdefaults]
default_realm = MYUBUNTU.EXAMPLE.COM ticket_lifetime = 24 години # renew_lifetime = 7 днів
Якщо default_realm не вказано, може знадобитися ввійти в систему за допомогою «username@domain» замість «username».
Системний час для члена Active Directory має відповідати часу контролера домену, інакше автентифікація Kerberos може бути невдалою. В ідеалі сервер контролера домену сам надаватиме службу NTP. Редагувати /etc/chrony/chrony.conf:
сервер dc.myubuntu.example.com