Saya mencoba untuk bergabung dengan server Ubuntu 16.04 ke domain Windows 2003 R2 dengan mengikuti SSSD dan Panduan Direktori Aktif Ubuntu . Admin saya mengatakan bahwa dari sisi pengontrol, itu adalah bagian dari domain. Tetapi SSSD tampaknya tidak dapat memulai dan net ads join
gagal.
The krb5.conf
dimodifikasi oleh installer dan sekarang memiliki ini:
kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
default_realm = COMAPNYNAME.LOCAL
Pada instalasi sebelumnya saya pikir ada sesuatu [realms]
yang diminta pada saat instalasi tetapi saya tidak ingat apa dan tidak diminta untuk kali ini.
Saya smb.conf
:
[global]
## Browsing/Identification ###
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = COMPANYNAME
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = COMPANYNAME.LOCAL
security = ads
Saya sssd.conf
:
kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL
[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u
Meskipun layanan SSSD sepertinya tidak dapat memulai:
kyle@Server21:~$ systemctl status sssd.service
● sssd.service - System Security Services Daemon
Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)
Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.
Dan karena panduan ini mengatakan bahwa kepemilikan dan izin penting:
kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x 2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw------- 1 root root 172 Jun 21 14:22 sssd.conf
Saya nsswitch.conf
:
kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat sss
group: compat sss
shadow: compat sss
gshadow: files
hosts: files dns
networks: files
protocols: db files
services: db files sss
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
Saya hosts
:
kyle@Server21:~$ cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 Server21.COMPANYNAME.LOCAL Server21
192.168.11.11 Server21.COMPANYNAME.LOCAL Server21
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Di sinilah masalahnya dimulai. Menggunakan sudo
untuk menjalankan kinit
hasil sebagai berikut:
kyle@Server21:~$ sudo kinit adminstrator
kinit: Client '[email protected]' not found in Kerberos database while getting initial credentials
Ini akan mengotentikasi jika saya membatalkan sudo
:
kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: [email protected]
Password for [email protected]:
Authenticated to Kerberos v5
Dan saya dapat memverifikasi tiket:
kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: [email protected]
Valid starting Expires Service principal
06/23/2016 13:41:55 06/23/2016 23:41:55 krbtgt/[email protected]
renew until 06/24/2016 13:41:48
Tetapi ketika saya mencoba bergabung dengan domain:
kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.
Saya sebelumnya telah menerima NT_STATUS_UNSUCCESSFUL
pesan yang disebutkan dalam panduan tetapi dapat menyelesaikannya dengan memodifikasi hosts
file saya .
Panduan ini berbicara tentang memverifikasi bahwa akun komputer dibuat di Direktori Aktif. Dan admin saya mengatakan bahwa dia dapat melihat mesin dengan baik jadi saya percaya itu tidak apa-apa. Opsi verifikasi kedua tidak memberi tahu saya apa yang seharusnya saya dapatkan kembali dari perintah itu, tetapi saya tidak menerima apa-apa jadi saya kira itu tidak berfungsi.
Jadi di mana saya salah di sini?
Edit:
Saya tidak yakin apa yang saya lakukan, tetapi SSSD sekarang berjalan.
sumber
Jawaban:
Masalahnya tampaknya adalah bahwa admin saya telah membuat entri pada Kontroler Domain untuk server ini. Ini tampaknya menyebabkan konflik yang menyebabkan Kerberos mengalami kesalahan berikut ketika mencoba untuk bergabung:
Saya tidak yakin bahwa kesalahan ini sepenuhnya akurat karena admin saya mengatakan server bergabung ke domain pada akhirnya dan
realmd
menunjukkan bahwa saya juga bergabung:Langkah-langkah yang saya ikuti untuk mendapatkan Kerberos yang berhasil bergabung adalah sebagai berikut:
sudo dpkg-reconfigure krb5-config
[realms]
bagiankrb5.conf
kinit
sudo net ads join -k
Hasil akhir:
sumber
Saya pikir Anda kehilangan keytab. Anda dapat membuatnya melalui alat kadmin. ketik kadmin dan pada prompt ketik bantuan untuk melihat bagaimana cara menambahkan keytab.
sumber
/etc/krb5.keytab
sudah ada dan beberapa barang terenkripsi diselingi dengan nama server dan nama domain. Apakah saya perlu membuat yang lain?