Kerberos/Samba는 Active Directory에 가입할 수 없습니다. [DEBIAN 8]

Kerberos/Samba는 Active Directory에 가입할 수 없습니다. [DEBIAN 8]

내 도메인에 가입하려고 할 때 문제가 발생했습니다.

Kerberos 티켓을 성공적으로 만들 수 있습니다.

root@debian:~# kinit [email protected]
Password for [email protected]:
root@debian:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
26/04/2016 18:20:18  27/04/2016 04:20:18  krbtgt/[email protected]
        renew until 27/04/2016 18:20:11

도메인에 가입하려고 하면:

    root@debian:~# net ads join -k 
Failed to join domain: failed to lookup
    DC info for domain 'ASP.DOMAIN' over rpc: {Device Timeout} The
    specified I/O operation on %hs was not completed before the time-out period expired.

내 krb5.conf는 다음과 같습니다.

[libdefaults]
        default_realm = ASP.DOMAIN

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

[realms]
        ASP.DOMAIN = {
                kdc = asp.domain
                admin_server = server.domain
                default_domain = DOMAIN
        }

[domain_realm]
        .asp.domain = ASP.DOMAIN
        asp.domain = ASP.DOMAIN

내 smb.conf:

[global]
        security = ADS
        realm = ASP.DOMAIN
        password server = server.domain
        workgroup = asp.domain
        winbind separator = /
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        winbind use default domain = yes
        domain master = no
        local master = no
        preferred master = no
        os level = 0

모르겠어요. 방화벽에는 아무것도 다운되지 않습니다. 티켓은 괜찮습니다. 3개의 도메인 컨트롤러를 사용해 보았습니다.

PS: 도메인은 변수입니다.

편집: 나는 또한 이 작업을 수행하기 위해 samba-tool을 사용해 보았습니다.

root@debian:~# samba-tool domain join ASP.DOMAIN MEMBER -UAdministrateur --real=ASP.DOMAIN
ERROR(runtime): uncaught exception - Connection to SAMR pipe of PDC for ASP.DOMAIN failed: Connection to DC failed: NT_STATUS_IO_TIMEOUT
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 606, in run
    machinepass=machinepass)

편집 2: 가입해도 괜찮나요? 하지만 wbinfo -u는 작동하지 않습니다.

root@debian:~# net ads join -U Administrateur
Enter Administrateur's password:
Using short domain name -- DOMAIN
Joined 'ASP.DOMAIN' to dns domain 'asp.domain'
DNS Update for asp.kapia failed: ERROR_DNS_GSS_ERROR
DNS update failed: NT_STATUS_UNSUCCESSFUL
root@debian:~# net ads testjoin
Join is OK

root@debian:~# wbinfo -u
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind domain name!
Error looking up domain users

편집 3:

여기에 이미지 설명을 입력하세요. 편집 4:

root@debian:~# service winbind status
● winbind.service - LSB: start Winbind daemon
   Loaded: loaded (/etc/init.d/winbind)
   Active: active (exited) since mer. 2016-04-27 16:16:00 CEST; 55s ago
  Process: 2222 ExecStart=/etc/init.d/winbind start (code=exited, status=0/SUCCESS)

avril 27 16:16:00 debian winbindd[2233]: #5 /usr/lib/x86_64-linux-gnu/libtevent.so.0(tevent_common_loop_timer_delay+0xcd) [0x7fbc2b11e1cd]
avril 27 16:16:00 debian winbindd[2233]: #6 /usr/lib/x86_64-linux-gnu/libtevent.so.0(+0x91ca) [0x7fbc2b11f1ca]
avril 27 16:16:00 debian winbindd[2233]: #7 /usr/lib/x86_64-linux-gnu/libtevent.so.0(+0x78e7) [0x7fbc2b11d8e7]
avril 27 16:16:00 debian winbindd[2233]: #8 /usr/lib/x86_64-linux-gnu/libtevent.so.0(_tevent_loop_once+0x8d) [0x7fbc2b11a12d]
avril 27 16:16:00 debian winbindd[2233]: #9 /usr/sbin/winbindd(main+0xb7c) [0x7fbc325cbc8c]
avril 27 16:16:00 debian winbindd[2233]: #10 /lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf5) [0x7fbc2a92db45]
avril 27 16:16:00 debian winbindd[2233]: #11 /usr/sbin/winbindd(+0x25318) [0x7fbc325cc318]
avril 27 16:16:00 debian winbindd[2233]: [2016/04/27 16:16:00.971185,  0] ../source3/lib/dumpcore.c:318(dump_core)
avril 27 16:16:00 debian winbindd[2233]: dumping core in /var/log/samba/cores/winbindd
avril 27 16:16:00 debian winbindd[2233]:

답변1

이미 default_realm설정했지만 다음과 같이 수정할 수도 있습니다 krb5.conf.

[libdefaults]
    default_realm = ASP.DOMAIN
    dns_lookup_realm = true
    dns_lookup_kdc = true

smb.conffor 에 다음 항목이 있지만 실제로 winbind는 다음을 사용합니다 sssd.

winbind trusted domains only = no
winbind use default domain = yes
; winbind enum users = yes            
; winbind enum groups = yes

winbind nested groups = yes
winbind expand groups = 4

winbind offline logon = yes
winbind refresh tickets = yes

winbind normalize names = no

이러한 winbind enum *설정으로 인해 모든 것이 느려질 수 있습니다. 한번 시도해보고 그것이 당신에게 효과가 있는지 확인하십시오. 이것이 제가 직업을 바꾼 이유 중 하나입니다 sssd.

Samba 클라이언트가 AD 도메인에 가입하면 DNS 업데이트 오류가 계속 발생하는 것으로 나타났습니다. 클라이언트가 올바르게 추가되었지만 해당 DNS 항목을 업데이트할 수 없습니다. (내 클라이언트의 대부분은 실제로 고정 IP 주소를 사용하는 Linux 기반 서버이므로 이것이 나를 괴롭히지 않았습니다.)

관련 정보