Kesulitan bergabung dengan Domain Direktori Aktif

9

Saya mencoba untuk bergabung dengan server Ubuntu 16.04 ke domain Windows 2003 R2 dengan mengikuti SSSD dan Panduan Direktori Aktif Ubuntu . Admin saya mengatakan bahwa dari sisi pengontrol, itu adalah bagian dari domain. Tetapi SSSD tampaknya tidak dapat memulai dan net ads joingagal.

The krb5.confdimodifikasi oleh installer dan sekarang memiliki ini:

kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
        default_realm = COMAPNYNAME.LOCAL

Pada instalasi sebelumnya saya pikir ada sesuatu [realms]yang diminta pada saat instalasi tetapi saya tidak ingat apa dan tidak diminta untuk kali ini.

Saya smb.conf:

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = COMPANYNAME
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = COMPANYNAME.LOCAL
   security = ads

Saya sssd.conf:

kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL

[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

Meskipun layanan SSSD sepertinya tidak dapat memulai:

kyle@Server21:~$ systemctl status sssd.service
● sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
  Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)

Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.

Dan karena panduan ini mengatakan bahwa kepemilikan dan izin penting:

kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x   2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw-------   1 root root  172 Jun 21 14:22 sssd.conf

Saya nsswitch.conf:

kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

Saya hosts:

kyle@Server21:~$ cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       Server21.COMPANYNAME.LOCAL Server21
192.168.11.11   Server21.COMPANYNAME.LOCAL Server21

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Di sinilah masalahnya dimulai. Menggunakan sudountuk menjalankan kinithasil sebagai berikut:

kyle@Server21:~$ sudo kinit adminstrator
kinit: Client 'adminstrator@COMPANYNAME.LOCAL' not found in Kerberos database while getting initial credentials

Ini akan mengotentikasi jika saya membatalkan sudo:

kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: administrator@COMPANYNAME.LOCAL
Password for administrator@COMPANYNAME.LOCAL:
Authenticated to Kerberos v5

Dan saya dapat memverifikasi tiket:

kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@COMPANYNAME.LOCAL

Valid starting       Expires              Service principal
06/23/2016 13:41:55  06/23/2016 23:41:55  krbtgt/COMPANYNAME.LOCAL@COMPANYNAME.LOCAL
        renew until 06/24/2016 13:41:48

Tetapi ketika saya mencoba bergabung dengan domain:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Saya sebelumnya telah menerima NT_STATUS_UNSUCCESSFULpesan yang disebutkan dalam panduan tetapi dapat menyelesaikannya dengan memodifikasi hostsfile saya .

Panduan ini berbicara tentang memverifikasi bahwa akun komputer dibuat di Direktori Aktif. Dan admin saya mengatakan bahwa dia dapat melihat mesin dengan baik jadi saya percaya itu tidak apa-apa. Opsi verifikasi kedua tidak memberi tahu saya apa yang seharusnya saya dapatkan kembali dari perintah itu, tetapi saya tidak menerima apa-apa jadi saya kira itu tidak berfungsi.

Jadi di mana saya salah di sini?

Edit:

Saya tidak yakin apa yang saya lakukan, tetapi SSSD sekarang berjalan.

windows  samba  dns  active-directory 
tertanam.kyle
sumber
Ubuntu 14,04 digunakan pemula, bukan systemd. Keluaran itu mencurigakan.
muru
@muru Maaf atas kesalahan ketiknya. Saya pada 16,04. Pertanyaan telah diedit.
embedded.kyle

Jawaban:

3

Masalahnya tampaknya adalah bahwa admin saya telah membuat entri pada Kontroler Domain untuk server ini. Ini tampaknya menyebabkan konflik yang menyebabkan Kerberos mengalami kesalahan berikut ketika mencoba untuk bergabung:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Saya tidak yakin bahwa kesalahan ini sepenuhnya akurat karena admin saya mengatakan server bergabung ke domain pada akhirnya dan realmdmenunjukkan bahwa saya juga bergabung:

kyle@Server21:~$ realm join COMPANYNAME.LOCAL
realm: Already joined to this domain

Langkah-langkah yang saya ikuti untuk mendapatkan Kerberos yang berhasil bergabung adalah sebagai berikut:

  1. Admin menghapus entri di Kontroler Domain
  2. Konfigurasi Reran Kerberos menggunakan: sudo dpkg-reconfigure krb5-config
  3. Pilih opsi dalam konfigurasi untuk menambahkan Kontroler Domain secara eksplisit ke [realms]bagiankrb5.conf
  4. Mengubah nama host untuk memastikan catatan baru dibuat
  5. Ditarik tiket baru menggunakan kinit
  6. Bergabung dengan domain menggunakan sudo net ads join -k

Hasil akhir:

kyle@SERV21:~$ sudo net ads join -k  
Using short domain name -- COMPANYNAME  
Joined 'SERV21' to dns domain 'CompanyName.Local'
tertanam.kyle
sumber
0

Saya pikir Anda kehilangan keytab. Anda dapat membuatnya melalui alat kadmin. ketik kadmin dan pada prompt ketik bantuan untuk melihat bagaimana cara menambahkan keytab.

pengguna2959348
sumber
/etc/krb5.keytabsudah ada dan beberapa barang terenkripsi diselingi dengan nama server dan nama domain. Apakah saya perlu membuat yang lain?
embedded.kyle
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.