Active Directory Etki Alanına Katılmada Sorun


9

Ubuntu SSSD ve Active Directory Kılavuzu'nu izleyerek bir Windows 2003 R2 etki alanına bir Ubuntu 16.04 sunucusuna katılmaya çalışıyorum . Yöneticim, denetleyici tarafından alan adının bir parçası olduğunu söylüyor. Ancak SSSD başlayamıyor gibi görünüyor net ads join.

krb5.confYükleyici tarafından değiştirilen ve şimdi bu vardır edildi:

kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
        default_realm = COMAPNYNAME.LOCAL

Önceki bir kurulumda [realms], kurulum sırasında istenen başka bir şey olduğunu düşündüm ama ne olduğunu hatırlayamıyorum ve bu sefer sorulmadı.

Benim smb.conf:

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = COMPANYNAME
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = COMPANYNAME.LOCAL
   security = ads

Benim sssd.conf:

kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL

[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

SSSD hizmeti başlatılamasa da:

kyle@Server21:~$ systemctl status sssd.service
● sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
  Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)

Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.

Rehber, sahiplik ve izinlerin önemli olduğunu belirttiğinden:

kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x   2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw-------   1 root root  172 Jun 21 14:22 sssd.conf

Benim nsswitch.conf:

kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

Benim hosts:

kyle@Server21:~$ cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       Server21.COMPANYNAME.LOCAL Server21
192.168.11.11   Server21.COMPANYNAME.LOCAL Server21

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Sorun burada başlıyor. Sonuçları aşağıdaki sudoşekillerde çalıştırmak için kullanma kinit:

kyle@Server21:~$ sudo kinit adminstrator
kinit: Client 'adminstrator@COMPANYNAME.LOCAL' not found in Kerberos database while getting initial credentials

Ben sudoolsa bırakın kimlik doğrulaması :

kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: administrator@COMPANYNAME.LOCAL
Password for administrator@COMPANYNAME.LOCAL:
Authenticated to Kerberos v5

Ve bileti doğrulayabilirim:

kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@COMPANYNAME.LOCAL

Valid starting       Expires              Service principal
06/23/2016 13:41:55  06/23/2016 23:41:55  krbtgt/COMPANYNAME.LOCAL@COMPANYNAME.LOCAL
        renew until 06/24/2016 13:41:48

Ancak etki alanına katılmaya çalıştığımda:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Daha önce NT_STATUS_UNSUCCESSFULrehberde belirtilen mesajı almıştım ancak dosyamı değiştirerek bunu çözebildim hosts.

Kılavuz, bilgisayar hesabının Active Directory'de oluşturulduğunu doğrulama hakkında konuşuyor. Ve yöneticim makinenin iyi görebildiğini söylüyor, bu yüzden iyi olduğuna inanıyorum. İkinci doğrulama seçeneği bana bu komuttan geri dönmem gereken şeyi söylemiyor ama hiçbir şey almıyorum, bu yüzden işe yaramıyor.

Peki, burada nerede yanlış gidiyorum?


Düzenle:

Ne yaptığımdan emin değilim, ama SSSD şimdi çalışıyor.


Ubuntu 14.04 sistemd yerine upstart kullanmıştır. Bu çıktı balık.
muru

@muru Yazım hatası için özür dilerim. 16.04'deyim. Soru düzenlendi.
embedded.kyle

Yanıtlar:


3

Sorun, yöneticimin bu sunucu için Etki Alanı Denetleyicisi'nde bir giriş oluşturmuş olması gibi görünüyor. Bu görünüşe göre Kerberos'un katılmaya çalışırken aşağıdaki hatayla karşılaşmasına neden olan bir çatışmaya neden oldu:

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Yöneticim sunucunun sonunda etki alanına katıldığını ve realmdben de katıldığımı belirttiğinden bu hatanın tamamen doğru olduğundan emin değilim :

kyle@Server21:~$ realm join COMPANYNAME.LOCAL
realm: Already joined to this domain

Kerberos'a başarılı bir şekilde katılmak için izlediğim adımlar şöyleydi:

  1. Yönetici, Etki Alanı Denetleyicisi'ndeki girişi kaldırdı
  2. Reran Kerberos yapılandırmasını kullanarak: sudo dpkg-reconfigure krb5-config
  3. Etki Alanı Denetleyicisini açıkça [realms]bölümüne eklemek için yapılandırmadaki seçenekleri belirleyin .krb5.conf
  4. Yeni bir kayıt oluşturulduğundan emin olmak için ana makine adı değiştirildi
  5. Kullanarak yeni bir bilet çıkardı kinit
  6. Kullanarak etki alanına katıldı sudo net ads join -k

Son sonuç:

kyle@SERV21:~$ sudo net ads join -k  
Using short domain name -- COMPANYNAME  
Joined 'SERV21' to dns domain 'CompanyName.Local'

0

Bence keytab eksik. Kadmin aracıyla oluşturabilirsiniz. yazın kadmin ve hızlı tip de yardım keytab nasıl ekleneceğini görmek için.


/etc/krb5.keytabzaten var ve sunucu adı ve etki alanı adıyla serpiştirilmiş bazı şifreli şeyler var. Başka bir tane oluşturmam gerekiyor mu?
embedded.kyle
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.