something = something-else

                }

        }

[realms]

        MYDOMAIN.RU = {

                kdc = pdc.mydomain.ru

                admin_server = pdc.mydomain.ru

                default_domain = mydomain.ru

        }

        OTHER.REALM = {

                v4_instance_convert = {

                        kerberos = kerberos

                        computer = pdc.mydomain.ru

                }

        }

[domain_realm]

        .mydomain.ru = MYDOMAIN.RU

Стоит обратить особое внимание на строки: default_realm = MYDOMAIN.RU и default_domain = mydomain.ru. Они необходимы для описания домена, который подразумевается по умолчанию, когда пользователь не указывает его имя в явном виде. Синхронизируем время с контроллером домена:

fs# ntpdate 192.168.1.6

Я предпочитаю, чтобы время синхронизировалось при каждом старте системы (мало ли из-за чего мог перезагрузиться сервер, например, из-за длительного отключения питания), для этого добавляем в файл /etc/rc.local строку с командой синхронизации. Следующая команда добавляет команду ntpdate в стартовый файл запуска /etc/rc.local:

fs# echo ntpdate 192.168.1.6 >> /etc/rc.local

Пробуем получить билетик от Kerberos:

fs# kinit -p Administrator

Ответ системы в положительном случае:

Administrator@MYDOMAIN.RU's password:

После ввода правильного пароля система выдаст ответ:

kinit: NOTICE: ticket renewable lifetime is 1 week

Если введен неверный пароль, система выдаст сообщение:

kinit: krb5_get_init_creds: Preauthentication failed

Если возникли какие-либо дополнительные проблемы, нужно более тщательно проверить конфигурационный файл /etc/krb5.conf. С приведенными здесь настройками у меня в сети данная схема работает. Если возникли дополнительные трудности, рекомендую книгу «Active Directory для Windows Server 2003. Справочник администратора», авторы Стен Реймер и Майк Малкер, СП ЭКОМ. Москва, 2004 г.

Проверим состояние соединения;

fs# klist

Credentials cache: FILE:/tmp/krb5cc_0

 Principal: berezhnoy_a@MYDOMAIN.RU