Sự cố khi tham gia miền Active Directory

9

Tôi đang cố gắng tham gia máy chủ Ubuntu 16.04 vào miền Windows 2003 R2 bằng cách làm theo Hướng dẫn về SSSD và Active Directory của Ubuntu . Quản trị viên của tôi nói rằng từ phía bộ điều khiển, nó là một phần của miền. Nhưng SSSD dường như không thể bắt đầu và net ads jointhất bại.

Đã krb5.confđược sửa đổi bởi trình cài đặt và bây giờ có điều này:

kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
        default_realm = COMAPNYNAME.LOCAL

Trong lần cài đặt trước, tôi nghĩ rằng có một thứ khác [realms]được yêu cầu trong quá trình cài đặt nhưng tôi không thể nhớ những gì và nó đã không được hỏi trong khoảng thời gian này.

My smb.conf:

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = COMPANYNAME
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = COMPANYNAME.LOCAL
   security = ads

My sssd.conf:

kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL

[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

Mặc dù dịch vụ SSSD dường như không thể bắt đầu:

kyle@Server21:~$ systemctl status sssd.service
● sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
  Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)

Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.

Và vì hướng dẫn nói rằng quyền sở hữu và quyền là quan trọng:

kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x   2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw-------   1 root root  172 Jun 21 14:22 sssd.conf

My nsswitch.conf:

kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

My hosts:

kyle@Server21:~$ cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       Server21.COMPANYNAME.LOCAL Server21
192.168.11.11   Server21.COMPANYNAME.LOCAL Server21

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Đây là nơi rắc rối bắt đầu. Sử dụng sudođể chạy kinitkết quả sau:

kyle@Server21:~$ sudo kinit adminstrator
kinit: Client 'adminstrator@COMPANYNAME.LOCAL' not found in Kerberos database while getting initial credentials

Nó sẽ xác thực nếu tôi bỏ sudomặc dù:

kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: administrator@COMPANYNAME.LOCAL
Password for administrator@COMPANYNAME.LOCAL:
Authenticated to Kerberos v5

Và tôi có thể xác minh vé:

kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@COMPANYNAME.LOCAL

Valid starting       Expires              Service principal
06/23/2016 13:41:55  06/23/2016 23:41:55  krbtgt/COMPANYNAME.LOCAL@COMPANYNAME.LOCAL
        renew until 06/24/2016 13:41:48

Nhưng khi tôi cố gắng tham gia tên miền:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Trước đây tôi đã nhận được NT_STATUS_UNSUCCESSFULtin nhắn được đề cập trong hướng dẫn nhưng có thể giải quyết điều đó bằng cách sửa đổi hoststệp của tôi .

Hướng dẫn nói về việc xác minh rằng tài khoản máy tính đã được tạo trong Active Directory. Và quản trị viên của tôi nói rằng anh ta có thể thấy máy hoạt động tốt nên tôi tin rằng nó ổn. Tùy chọn xác minh thứ hai không cho tôi biết những gì tôi phải nhận lại từ lệnh đó nhưng tôi không nhận được bất cứ điều gì vì vậy tôi cho rằng nó không hoạt động.

Vậy tôi đang sai ở đâu?

Biên tập:

Tôi không chắc mình đã làm gì, nhưng SSSD hiện đang chạy.

windows  samba  dns  active-directory 
nhúng.kyle
nguồn
Ubuntu 14.04 được sử dụng mới nhất, không phải systemd. Sản lượng đó là tanh.
muru
@muru Xin lỗi vì lỗi đánh máy. Tôi vào ngày 16.04. Câu hỏi đã được chỉnh sửa.
embedded.kyle

Câu trả lời:

3

Vấn đề dường như là quản trị viên của tôi đã tạo một mục trên Bộ điều khiển miền cho máy chủ này. Điều này rõ ràng đã gây ra một cuộc xung đột khiến Kerberos gặp phải lỗi sau khi cố gắng tham gia:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Tôi không chắc chắn rằng lỗi này là hoàn toàn chính xác vì quản trị viên của tôi cho biết máy chủ đã được kết nối với tên miền ở cuối và realmdcho biết tôi cũng đã tham gia:

kyle@Server21:~$ realm join COMPANYNAME.LOCAL
realm: Already joined to this domain

Các bước tôi đã làm theo để tham gia Kerberos thành công như sau:

  1. Quản trị viên đã xóa mục trong Bộ kiểm soát miền
  2. Cấu hình Reran Kerberos bằng cách sử dụng: sudo dpkg-reconfigure krb5-config
  3. Chọn các tùy chọn trong cấu hình để thêm Bộ điều khiển miền rõ ràng vào [realms]phần củakrb5.conf
  4. Thay đổi tên máy chủ để đảm bảo bản ghi mới được tạo
  5. Kéo một vé mới bằng cách sử dụng kinit
  6. Đã tham gia tên miền bằng sudo net ads join -k

Kết quả cuối cùng:

kyle@SERV21:~$ sudo net ads join -k  
Using short domain name -- COMPANYNAME  
Joined 'SERV21' to dns domain 'CompanyName.Local'
nhúng.kyle
nguồn
0

Tôi nghĩ rằng bạn đang thiếu keytab. Bạn có thể tạo nó thông qua công cụ kadmin. gõ kadmin và trong phần nhắc nhở giúp xem cách thêm keytab.

người dùng2959348
nguồn
/etc/krb5.keytabđã tồn tại và có một số nội dung được mã hóa xen kẽ với tên máy chủ và tên miền. Tôi có cần tạo thêm không?
embedded.kyle
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.