samba4 RODC에서 캐시 된 자격 증명으로 Win7 클라이언트가 실패 함


9

1400 원격 사이트에 samba4를 배포하려는 고객을위한 테스트 환경을 설정하고 있는데 문제가 발생했습니다. 결국 문제가 생겨 문제를 해결하는 것이 저의 일입니다.

액티브 디렉토리

  • 포리스트 루트 및 단일 도메인 : main.adlab.netdirect.ca
  • Windows 2008 R2에서 생성
  • 2008 년 FFL
  • 2008 년 DFL

본사

  • AD1 : Windows 2008 R2 DC
  • AD2 : Windows 2008 R2 DC
  • Windows 7 Professional 클라이언트

지점

  • Samba 4 (Sernet의 4.1.1-7.suse111 패키지)가 포함 된 SLES11SP2 (완전히 업데이트되었습니다!)
  • RODC로 구성된 Samba 4

특정 계정을 RODC에 캐시 할 수 있도록 암호 복제 정책을 구성한 다음 해당 계정을 RODC에 채 웁니다.

sles-shire:~ # samba-tool rodc preload 'win7-shire$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

sles-shire:~ # samba-tool rodc preload 'win7-shire-2$' --server main.adlab.netdirect.ca
Replicating DN CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=WIN7-SHIRE-2,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[1]

sles-shire:~ # samba-tool rodc preload 'bilbo' --server main.adlab.netdirect.ca
Replicating DN CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca
Exop on[CN=Bilbo Baggins,OU=Shire,OU=Offices,DC=main,DC=adlab,DC=netdirect,DC=ca] objects[1] linked_values[2]

내가 아는 그 자격 증명이 RODC에 캐시되고 있음을 나는 캐시 된 사용자가 아닌 다른 사용자와 내가이 로그인 할 수있는 사이트 링크를 삭제하면 가입일 :

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U michael
Enter michael's password: 
session setup failed: NT_STATUS_IO_TIMEOUT

michael@sles-shire:~> smbclient //sles-shire.main.adlab.netdirect.ca/sysvol -U bilbo
Enter bilbo's password: 
Domain=[MAIN] OS=[Unix] Server=[Samba 4.1.1-SerNet-SuSE-7.suse111]
smb: \> ls
  .                                   D        0  Mon Nov 18 16:09:44 2013
  ..                                  D        0  Mon Nov 18 16:11:15 2013
  main.adlab.netdirect.ca             D        0  Wed Nov 20 17:54:13 2013

인증이 제대로 작동하고 있습니다! 그러나 Windows 7 PC (WIN7-SHIRE)에 로그인하려고하면 오류가 발생합니다.

내부 오류가 발생했습니다.

사람. 감사. 잘못된 비밀번호를 사용하면 다음과 같은 결과가 나타납니다.

사용자 이름 또는 비밀번호가 올바르지 않습니다.

따라서 인증이 이루어지고 있지만 Windows 7은 무언가를 좋아하지 않습니다 . 이벤트 로그에 이러한 오류가 표시되며이 문제와 관련이 있다고 생각합니다.

보안 시스템이 서버 ldap / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.

보안 시스템이 서버 DNS / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.

내가있어 경우 이미 시도 및 사용 네트워크 서비스에 로그온 내가 얻을 :

보안 시스템이 서버 cifs / sles-shire.main.adlab.netdirect.ca에 대한 인증 오류를 감지했습니다. 인증 프로토콜 Kerberos의 실패 코드는 "내부 오류가 발생했습니다. (0xc00000e5)"입니다.

서버의 krb5.conf :

[libdefaults]
    default_realm = MAIN.ADLAB.NETDIRECT.CA
    dns_lookup_realm = true
    dns_lookup_kdc = true

[realms]

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

실제 키커는 다음과 같습니다.

사이트 링크가 작동 할 때 여전히 동작이 발생 합니다 . RODC에 캐시 되지 않은 계정으로 도메인 PC에 로그인 할 수 있지만 RODC에있는 경우 동일한 오류가 발생합니다.

AD DNS에 적절한 SRV 레코드가 모두 있는지 확인했습니다. 지점의 Windows 2008 R2 DC를 RODC 역할로 승격시키고 Windows 및 Samba RODC 모두에 대해 모든 적절한 DNS 레코드가 있는지 확인함으로써이를 보장했습니다.

(일부는 삼바에서 아직 추가하지 않았으므로 직접 추가해야했습니다.

SRV _ldap._tcp.${SITE}._sites.DomainDnsZones.${DNSDOMAIN} ${HOSTNAME} 389
SRV _ldap._tcp.${SITE}._sites.ForestDnsZones.${DNSFOREST} ${HOSTNAME} 389

) (브래킷 닫기)

그래서… 무엇이 고장 났으며 어떻게 고쳐야합니까?


SPN 정보

> dsquery * "CN=SLES-SHIRE,OU=Domain Controllers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  ldap/SLES-SHIRE;
  ldap/4116d553-d66b-4c8b-9a60-90380ac69c04._msdcs.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca;
  ldap/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca/MAIN;
  RestrictedKrbHost/SLES-SHIRE.main.adlab.netdirect.ca;
  RestrictedKrbHost/SLES-SHIRE;
  GC/SLES-SHIRE.main.adlab.netdirect.ca/main.adlab.netdirect.ca;
  HOST/SLES-SHIRE.main.adlab.netdirect.ca;HOST/SLES-SHIRE;

> dsquery * "CN=WIN7-SHIRE,CN=Computers,DC=main,DC=adlab,DC=netdirect,DC=ca" -attr servicePrincipalName
  servicePrincipalName
  TERMSRV/WIN7-SHIRE.main.adlab.netdirect.ca;
  TERMSRV/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE;
  HOST/WIN7-SHIRE;
  RestrictedKrbHost/WIN7-SHIRE.main.adlab.netdirect.ca;
  HOST/WIN7-SHIRE.main.adlab.netdirect.ca;

답변:


2

긴 샷이지만 시도해 보았습니다. 보안 수준 설정 측면에서 win7과 samba 기반 RODC 간의 비 호환성으로 보입니다. 또한 win 7의 일부 기본 보안 설정이 삼바가 지원하지 않는 너무 제한적이라고 가정합니다. 로컬 정책 (컴퓨터 구성-> Windows 설정-> 보안 설정-> 로컬 정책-> 보안 옵션)을 변경하여 win 7에서 보안 설정을 완화하려고합니다.

일반적인 용의자에는 다음이 포함되지만 이에 국한되지는 않습니다.

Microsoft 네트워크 클라이언트 : 디지털 서명 통신 (서버가 동의 한 경우) Microsoft 네트워크 클라이언트 : 타사 SMB 서버에 암호화되지 않은 암호 보내기 네트워크 보안 : LAN Manager 인증 수준 네트워크 보안 : LDAP 클라이언트 서명 요구 사항 네트워크 보안 : NTLM SSP 기반의 최소 세션 보안 ( 보안 RPC 포함) 클라이언트 메시지 기밀성 필요 NTLMv2 세션 보안 필요 128 비트 암호화 필요


0

탐색 / 테스트 설치와 관련된 모든 데드 엔드 및 느슨한 와이어와 관련된 문제 일 수 있습니다.

실제 구성 절차에서 환경을 복원하고 AD 및 RODC 설정을 다시 실행 한 후이 시나리오는 문제없이 완벽하게 작동했습니다!

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.