![Kerberos/Samba는 Active Directory에 가입할 수 없습니다. [DEBIAN 8]](https://linux55.com/image/6799/Kerberos%2FSamba%EB%8A%94%20Active%20Directory%EC%97%90%20%EA%B0%80%EC%9E%85%ED%95%A0%20%EC%88%98%20%EC%97%86%EC%8A%B5%EB%8B%88%EB%8B%A4.%20%5BDEBIAN%208%5D.png)
내 도메인에 가입하려고 할 때 문제가 발생했습니다.
Kerberos 티켓을 성공적으로 만들 수 있습니다.
root@debian:~# kinit [email protected]
Password for [email protected]:
root@debian:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
26/04/2016 18:20:18 27/04/2016 04:20:18 krbtgt/[email protected]
renew until 27/04/2016 18:20:11
도메인에 가입하려고 하면:
root@debian:~# net ads join -k
Failed to join domain: failed to lookup
DC info for domain 'ASP.DOMAIN' over rpc: {Device Timeout} The
specified I/O operation on %hs was not completed before the time-out period expired.
내 krb5.conf는 다음과 같습니다.
[libdefaults]
default_realm = ASP.DOMAIN
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
ASP.DOMAIN = {
kdc = asp.domain
admin_server = server.domain
default_domain = DOMAIN
}
[domain_realm]
.asp.domain = ASP.DOMAIN
asp.domain = ASP.DOMAIN
내 smb.conf:
[global]
security = ADS
realm = ASP.DOMAIN
password server = server.domain
workgroup = asp.domain
winbind separator = /
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
winbind use default domain = yes
domain master = no
local master = no
preferred master = no
os level = 0
모르겠어요. 방화벽에는 아무것도 다운되지 않습니다. 티켓은 괜찮습니다. 3개의 도메인 컨트롤러를 사용해 보았습니다.
PS: 도메인은 변수입니다.
편집: 나는 또한 이 작업을 수행하기 위해 samba-tool을 사용해 보았습니다.
root@debian:~# samba-tool domain join ASP.DOMAIN MEMBER -UAdministrateur --real=ASP.DOMAIN
ERROR(runtime): uncaught exception - Connection to SAMR pipe of PDC for ASP.DOMAIN failed: Connection to DC failed: NT_STATUS_IO_TIMEOUT
File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 606, in run
machinepass=machinepass)
편집 2: 가입해도 괜찮나요? 하지만 wbinfo -u는 작동하지 않습니다.
root@debian:~# net ads join -U Administrateur
Enter Administrateur's password:
Using short domain name -- DOMAIN
Joined 'ASP.DOMAIN' to dns domain 'asp.domain'
DNS Update for asp.kapia failed: ERROR_DNS_GSS_ERROR
DNS update failed: NT_STATUS_UNSUCCESSFUL
root@debian:~# net ads testjoin
Join is OK
root@debian:~# wbinfo -u
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
Error looking up domain users
편집 3:
편집 4:
root@debian:~# service winbind status
● winbind.service - LSB: start Winbind daemon
Loaded: loaded (/etc/init.d/winbind)
Active: active (exited) since mer. 2016-04-27 16:16:00 CEST; 55s ago
Process: 2222 ExecStart=/etc/init.d/winbind start (code=exited, status=0/SUCCESS)
avril 27 16:16:00 debian winbindd[2233]: #5 /usr/lib/x86_64-linux-gnu/libtevent.so.0(tevent_common_loop_timer_delay+0xcd) [0x7fbc2b11e1cd]
avril 27 16:16:00 debian winbindd[2233]: #6 /usr/lib/x86_64-linux-gnu/libtevent.so.0(+0x91ca) [0x7fbc2b11f1ca]
avril 27 16:16:00 debian winbindd[2233]: #7 /usr/lib/x86_64-linux-gnu/libtevent.so.0(+0x78e7) [0x7fbc2b11d8e7]
avril 27 16:16:00 debian winbindd[2233]: #8 /usr/lib/x86_64-linux-gnu/libtevent.so.0(_tevent_loop_once+0x8d) [0x7fbc2b11a12d]
avril 27 16:16:00 debian winbindd[2233]: #9 /usr/sbin/winbindd(main+0xb7c) [0x7fbc325cbc8c]
avril 27 16:16:00 debian winbindd[2233]: #10 /lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf5) [0x7fbc2a92db45]
avril 27 16:16:00 debian winbindd[2233]: #11 /usr/sbin/winbindd(+0x25318) [0x7fbc325cc318]
avril 27 16:16:00 debian winbindd[2233]: [2016/04/27 16:16:00.971185, 0] ../source3/lib/dumpcore.c:318(dump_core)
avril 27 16:16:00 debian winbindd[2233]: dumping core in /var/log/samba/cores/winbindd
avril 27 16:16:00 debian winbindd[2233]:
답변1
이미 default_realm설정했지만 다음과 같이 수정할 수도 있습니다 krb5.conf.
[libdefaults]
default_realm = ASP.DOMAIN
dns_lookup_realm = true
dns_lookup_kdc = true
smb.conffor 에 다음 항목이 있지만 실제로 winbind는 다음을 사용합니다 sssd.
winbind trusted domains only = no
winbind use default domain = yes
; winbind enum users = yes
; winbind enum groups = yes
winbind nested groups = yes
winbind expand groups = 4
winbind offline logon = yes
winbind refresh tickets = yes
winbind normalize names = no
이러한 winbind enum *설정으로 인해 모든 것이 느려질 수 있습니다. 한번 시도해보고 그것이 당신에게 효과가 있는지 확인하십시오. 이것이 제가 직업을 바꾼 이유 중 하나입니다 sssd.
Samba 클라이언트가 AD 도메인에 가입하면 DNS 업데이트 오류가 계속 발생하는 것으로 나타났습니다. 클라이언트가 올바르게 추가되었지만 해당 DNS 항목을 업데이트할 수 없습니다. (내 클라이언트의 대부분은 실제로 고정 IP 주소를 사용하는 Linux 기반 서버이므로 이것이 나를 괴롭히지 않았습니다.)