各位大佬，我折腾Samba Active Directory的DDNS功能好几天了，虽然啃了不少文档学了一堆东西，但现在彻底卡壳了😭。我的核心需求是让ISC-DHCP能自动更新Samba的内部DNS记录，之前给Samba自带的dhcp-dyndns.sh脚本加了日志输出，终于摸到了问题根源——调用samba-tool时用--use-kerberos=required参数认证失败，导致DHCP没法完成DNS记录的新增/删除。

先给大家梳理下我目前理解的dhcp-dyndns.sh工作流程：

• 脚本默认依赖Samba AD里创建的dhcpduser用户，这个用户专门负责DNS记录的增删操作
• 需要在服务器上存放对应的keytab文件：/etc/dhcpduser.key
• 每当ISC-DHCP完成客户端IP分配的“提交”操作时，就会触发这个脚本
• 脚本会先检查本地是否有有效的Kerberos票据，如果没有会自动尝试创建
• 最后调用samba-tool操作Samba内部的DNS数据库，但就在这一步Kerberos认证失败了

我尝试过的排查方向&可能的解决方案 #

1. 先确认dhcpduser和keytab文件的基础配置

• 先检查dhcpduser是否真的存在于Samba AD中：

  samba-tool user list | grep dhcpduser
  

• 然后检查keytab文件的权限和有效性：
  • 权限必须严格设置为root:dhcpd，权限值640，防止其他用户读取：

    chown root:dhcpd /etc/dhcpduser.key
    chmod 640 /etc/dhcpduser.key
    

  • 用klist查看keytab里的票据条目，确保包含dhcpduser对应的SPN（尤其是DNS/你的Samba服务器域名这类用于DDNS的SPN）：

    klist -k /etc/dhcpduser.key
    

2. 手动测试Kerberos认证和samba-tool操作

• 先尝试用keytab获取Kerberos票据，看是否能成功：

  kinit -k -t /etc/dhcpduser.key dhcpduser@你的AD域名.COM
  

  如果这一步失败，大概率是keytab文件本身有问题，建议重新生成：

  # 先创建/重置dhcpduser（如果之前的用户有问题）
  samba-tool user create dhcpduser --password=你的强密码（符合AD复杂度要求）
  # 给dhcpduser添加DNS更新所需的SPN
  samba-tool spn add DNS/你的Samba服务器域名 dhcpduser
  # 导出keytab文件
  samba-tool domain exportkeytab /etc/dhcpduser.key --principal=dhcpduser@你的AD域名.COM
  

• 拿到有效票据后，手动测试samba-tool的DNS操作，比如添加一条测试记录：

  samba-tool dns add 你的Samba服务器域名 你的AD域名 test-host A 192.168.1.100 --use-kerberos=required
  

  如果这一步成功，说明脚本里的调用可能存在环境变量缺失的问题；如果失败，仔细看错误提示，比如是不是SPN不匹配、权限不足等。

3. 检查dhcp-dyndns.sh脚本的环境变量和调用参数

• 脚本可能没有正确设置Kerberos的环境变量，建议在脚本开头添加：

  export KRB5_KTNAME=/etc/dhcpduser.key
  

• 检查脚本里调用samba-tool的命令，确认是否指定了正确的Samba服务器地址（比如加上--server=你的Samba服务器IP/域名参数），避免脚本自动解析出错。

4. 确保dhcpduser有足够的DNS更新权限

• 可以把dhcpduser加入Samba AD的DNSAdmins组，获得DNS管理权限：

  samba-tool group addmembers "DNSAdmins" dhcpduser
  

• 也可以检查Samba配置文件smb.conf里的dns update permissions相关设置，确保允许DHCP用户进行DNS更新操作。

目前我还卡在认证这一步，有没有大佬遇到过类似问题？求指点！

备注：内容来源于stack exchange，提问作者bas