Samba AD DC 서버에서 인증 할 수 없습니다

홈 서버로 사용하는 Raspberry Pi 3B +가 있습니다.

Raspbian pacakges (4.5.12 + dfsg-2 + deb9u4)에서 Samba AD DC를 설치하고 설정했습니다.

로컬 사용자를 인증하기 위해 AD DC 서버에서 SSSD를 구성했습니다.

설정이 제대로 작동했지만 12 월 초부터 모든 종류의 인증 문제가 발생했습니다. AD 계정을 사용하여 로컬 서버에서 인증 할 수 없다는 점을 제외하면 거의 모든 문제가 해결되었습니다.

네트워크의 다른 Raspberry Pi에서 도메인 구성원으로 가입하고 SSSD로 구성된 다른 Raspberry Pi에서 인증 할 수 있습니다.

웹에서 솔루션을 검색했지만 해결할 수 없습니다.

관련 구성 파일의 내용은 다음과 같습니다.

/ etc / hostname

pitaya

/etc/resolv.conf

search gggm.int
nameserver 192.168.2.26

/etc/krb5.conf

[libdefaults]
    default_realm = GGGM.INT
    dns_lookup_realm = false
    dns_lookup_kdc = true

[domain_realm]
    .gggm.int = GGGM.INT

/etc/samba/smb.conf

[global]
    netbios name = PITAYA
    realm = GGGM.INT
    workgroup = GGGM
    server role = active directory domain controller
    dns forwarder = 192.168.2.1
    idmap_ldb:use rfc2307 = yes
    log level = 2
    server string = Pitaya
    winbind enum users = yes
    winbind enum groups = yes
    template homedir = /home/%U
    template shell = /bin/bash
    username map = /etc/samba/user.map
    kerberos method = secrets and keytab

    tls enabled = yes
    tls keyfile = /var/lib/samba/private/tls/sambaKey.pem
    tls certfile = /var/lib/samba/private/tls/sambaCert.pem
    tls cafile = /var/lib/samba/private/tls/crt.ca-chain.pem

<Share configuration skipped...>

/etc/sssd/sssd.conf

[sssd]
services = nss, pam, sudo, ssh
config_file_version = 2
domains = GGGM.INT
full_name_format = %1$s

[domain/GGGM.INT]
ad_domain = gggm.int
id_provider = ad
auth_provider = ad
access_provider = ad
sudo_provider = ad
use_fully_qualified_names = false
ldap_id_mapping = false
ldap_referrals = false
override_homedir = /home/%u
enumerate = true
ldap_sudo_search_base = OU=sudoers,OU=gggm.int,DC=gggm,DC=int
ad_gpo_access_control = permissive
dyndns_update = false

uname -a의 출력

Linux pitaya 4.14.79-v7+ #1159 SMP Sun Nov 4 17:50:20 GMT 2018 armv7l GNU/Linux

DNS 확인 작동

root@pitaya ~ # host pitaya
pitaya.gggm.int has address 192.168.2.26
root@pitaya ~ # host 192.168.2.26
26.2.168.192.in-addr.arpa domain name pointer pitaya.gggm.int.
root@pitaya ~ # host -t SRV _ldap._tcp.gggm.int
_ldap._tcp.gggm.int has SRV record 0 100 389 pitaya.gggm.int.
root@pitaya ~ # host -t SRV _kerberos._tcp.gggm.int
_kerberos._tcp.gggm.int has SRV record 0 100 88 pitaya.gggm.int.
root@pitaya ~ #

Kerberos를 도메인 사용자로 사용하여 인증 할 수 있습니다.

root@pitaya ~ # kinit ghigad
Password for ghigad@GGGM.INT:
root@pitaya ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ghigad@GGGM.INT

Valid starting     Expires            Service principal
03/01/19 12:38:35  03/01/19 22:38:35  krbtgt/GGGM.INT@GGGM.INT
        renew until 04/01/19 12:38:32
root@pitaya ~ #

로컬 서버에서 공유를 나열 할 수 있습니다.

root@pitaya ~ # smbclient -k -L pitaya
Domain=[GGGM] OS=[Windows 6.1] Server=[Samba 4.5.12-Debian]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Pitaya)
Domain=[GGGM] OS=[Windows 6.1] Server=[Samba 4.5.12-Debian]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------
root@pitaya ~ #

머신 프린시 펄을 사용하여 로그인 할 수 있습니다.

root@pitaya ~ # kdestroy
root@pitaya ~ # kinit -k PITAYA$
root@pitaya ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: PITAYA$@GGGM.INT

Valid starting     Expires            Service principal
03/01/19 12:43:17  03/01/19 22:43:17  krbtgt/GGGM.INT@GGGM.INT
        renew until 04/01/19 12:43:17
root@pitaya ~ #

smbclient -k -L pitaya이 티켓을 사용 하여 서버 공유를 나열 할 수도 있습니다 (위와 동일한 출력).

또한, wbinfo -u및 getent passwd도메인의 사용자를 나열합니다. 마찬가지로, wbinfo -g및 getent group도메인의 그룹을 나열합니다.

출력 wbinfo -P

checking the NETLOGON for domain[GGGM] dc connection to "pitaya.gggm.int" succeeded

도메인 DB를 확인하려고했는데 오류가 발생하지 않았습니다.

root@pitaya ~ # samba-tool dbcheck
Processing section "[netlogon]"
Processing section "[sysvol]"
pm_process() returned Yes
schema_fsmo_init: we are master[yes] updates allowed[no]
schema_fsmo_init: we are master[yes] updates allowed[no]
Checking 400 objects
Checked 400 objects (0 errors)

다음은 krb5.keytab의 내용입니다.

root@pitaya ~ # klist -kte
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   3 31/12/18 12:16:18 host/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 host/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 host/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 host/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 host/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 host/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 host/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 host/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 host/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 host/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 gc/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 gc/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 gc/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 gc/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 gc/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 gc/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 gc/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 gc/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 gc/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 gc/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 ldap/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 ldap/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 ldap/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 ldap/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 ldap/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 ldap/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 ldap/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 ldap/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 ldap/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 ldap/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 restrictedkrbhost/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 restrictedkrbhost/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 restrictedkrbhost/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 restrictedkrbhost/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:18 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 restrictedkrbhost/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:18 krbtgt/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 krbtgt/PITAYA@GGGM.INT (des-cbc-crc)
   3 31/12/18 12:16:18 krbtgt/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 krbtgt/PITAYA@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:18 krbtgt/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 krbtgt/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 krbtgt/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 krbtgt/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 krbtgt/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:19 krbtgt/PITAYA@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:19 PITAYA$@GGGM.INT (arcfour-hmac)
   3 31/12/18 12:16:19 PITAYA$@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 PITAYA$@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 31/12/18 12:16:19 PITAYA$@GGGM.INT (des-cbc-md5)
   3 31/12/18 12:16:19 PITAYA$@GGGM.INT (des-cbc-crc)

그러나 도메인 인증을 시도하면 일반 텍스트 인증은 성공하지만 챌린지 / 응답은 실패합니다.

root@pitaya ~ # wbinfo -a ghigad
Enter ghigad's password:
plaintext password authentication succeeded
Enter ghigad's password:
challenge/response password authentication failed
wbcAuthenticateUserEx(GGGM\ghigad): error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error message was: Wrong Password
Could not authenticate user ghigad with challenge/response
root@pitaya ~ #

사용자의 비밀번호 ( samba-tool user setpassword ghigad) 를 재설정하려고했지만 아무 것도 변경하지 않았습니다.

SSH와 도메인 계정을 사용하여 서버에 로그인 할 수 없습니다 (다른 서버에서는 가능합니다).

또 다른 이상한 행동은 kinit -k실패합니다.

root@pitaya ~ # kinit -k
kinit: Preauthentication failed while getting initial credentials
root@pitaya ~ #

로그 파일을 파고 나서 이것을 찾았습니다 ...

[2019/01/03 12:51:23.391820,  3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- host/pitaya.gggm.int@GGGM.INT (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96
[2019/01/03 12:51:23.392318,  5] ../source4/dsdb/common/util.c:5252(dsdb_update_bad_pwd_count)
  Not updating badPwdCount on CN=PITAYA,OU=Domain Controllers,DC=gggm,DC=int after wrong password
[2019/01/03 12:51:23.392435,  3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Failed to decrypt PA-DATA -- host/pitaya.gggm.int@GGGM.INT

또한 내 Windows 컴퓨터는 모두 정상적으로 작동합니다. 사용자는 로그인하여 공유 드라이브를 사용할 수 있습니다. RSAT 도구 (GPO, DNS, 사용자, 프린터 등)를 사용할 수도 있습니다.

서비스 수준의 Kerberos 인증에서 문제가 발생한다고 생각하지만 멈췄습니다 ...이 문제를 해결하는 방법을 알 수 없습니다 ...

누구든지 도울 수 있습니까?

더 이상 로그가 필요하면 추출을 추가 할 수 있습니다 ...

편집하다

나는 실험을 한 해결책을 계속 찾았다.

다른 Linux 시스템을 PDC ( samba-tool domain join gggm.int DC --dns-backend=SAMBA_INTERNAL --option='idmap_ldb:use rfc2307 = yes')로 설정했습니다. 도메인에 가입 한 후 시스템이 첫 번째 시스템과 약간 다르게 작동하기 시작했다는 점을 제외하고는 모든 것이 잘 진행되었습니다.

getent passwd사용자 목록을 getent group반환하고 그룹 목록을 반환했지만 login ghigad항상 실패했습니다.

마침내 pacSSSD 에서 서비스 를 활성화 하면 문제가 해결 된다는 것을 알았습니다 ...

sssd.conf

[sssd]
services = nss, pam, sudo, ssh, pac, ifp

그래서 다른 문제가있는 서버로 가서 pacSSSD 에서 서비스를 활성화 하고 문제가 해결되기를 희망하면서 손가락을 건 crossed습니다.

불행히도 쉽지는 않습니다 ... 여전히 이상한 인증 문제가 있습니다 ...

SSSD 캐시 ( sssctl cache-remove)를 비우고 getent passwd더 이상 내 도메인 사용자를 나열 할 수 없으며 SSSD에서 도메인이 오프라인 상태가되었습니다.

root@pitaya /usr/sbin # sssctl domain-status gggm.int
Online status: Offline

Active servers:
AD Global Catalog: not connected
AD Domain Controller: pitaya.gggm.int

Discovered AD Global Catalog servers:
None so far.

Discovered AD Domain Controller servers:
- pitaya.gggm.int

도움이 될 수 있도록 컴퓨터의 키탭을 재생성하려고했습니다.

root@pitaya ~ # rm /etc/krb5.keytab
root@pitaya ~ # net ads keytab create -P
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database
root@pitaya ~ # net ads keytab create -U ghigad
Enter ghigad's password:
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database
kerberos_kinit_password GGGM@GGGM.INT failed: Client not found in Kerberos database

Keytab을 다시 만들 수있는 유일한 방법은 먼저 Kerberos로 인증하는 것입니다.

root@pitaya ~ # kinit ghigad
Password for ghigad@GGGM.INT:
root@pitaya ~ # net ads keytab create -k
root@pitaya ~ # klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 host/PITAYA@GGGM.INT (des-cbc-crc)
   3 host/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 host/PITAYA@GGGM.INT (des-cbc-md5)
   3 host/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 host/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 host/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 host/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 host/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 host/PITAYA@GGGM.INT (arcfour-hmac)
   3 gc/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 gc/PITAYA@GGGM.INT (des-cbc-crc)
   3 gc/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 gc/PITAYA@GGGM.INT (des-cbc-md5)
   3 gc/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 gc/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 gc/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 gc/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 gc/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 gc/PITAYA@GGGM.INT (arcfour-hmac)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (des-cbc-crc)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (des-cbc-md5)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 e3514235-4b06-11d1-ab04-00c04fc2dcd2/PITAYA@GGGM.INT (arcfour-hmac)
   3 ldap/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 ldap/PITAYA@GGGM.INT (des-cbc-crc)
   3 ldap/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 ldap/PITAYA@GGGM.INT (des-cbc-md5)
   3 ldap/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 ldap/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 ldap/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 ldap/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 ldap/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 ldap/PITAYA@GGGM.INT (arcfour-hmac)
   3 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 restrictedkrbhost/PITAYA@GGGM.INT (des-cbc-crc)
   3 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 restrictedkrbhost/PITAYA@GGGM.INT (des-cbc-md5)
   3 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 restrictedkrbhost/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 restrictedkrbhost/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 restrictedkrbhost/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 restrictedkrbhost/PITAYA@GGGM.INT (arcfour-hmac)
   3 krbtgt/pitaya.gggm.int@GGGM.INT (des-cbc-crc)
   3 krbtgt/PITAYA@GGGM.INT (des-cbc-crc)
   3 krbtgt/pitaya.gggm.int@GGGM.INT (des-cbc-md5)
   3 krbtgt/PITAYA@GGGM.INT (des-cbc-md5)
   3 krbtgt/pitaya.gggm.int@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 krbtgt/PITAYA@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 krbtgt/pitaya.gggm.int@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 krbtgt/PITAYA@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 krbtgt/pitaya.gggm.int@GGGM.INT (arcfour-hmac)
   3 krbtgt/PITAYA@GGGM.INT (arcfour-hmac)
   3 PITAYA$@GGGM.INT (des-cbc-crc)
   3 PITAYA$@GGGM.INT (des-cbc-md5)
   3 PITAYA$@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 PITAYA$@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 PITAYA$@GGGM.INT (arcfour-hmac)

그런 다음 SSSD를 다시 시작하고 상태를 확인했습니다. 여전히 오프라인입니다.

samba-tool을 사용하여 Keytab을 내보내려고했습니다.

root@pitaya ~ # rm /etc/krb5.keytab
root@pitaya ~ # samba-tool domain exportkeytab /etc/krb5.keytab --principal=PITAYA$
Export one principal to /etc/krb5.keytab
root@pitaya ~ # klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 PITAYA$@GGGM.INT (arcfour-hmac)
   3 PITAYA$@GGGM.INT (aes256-cts-hmac-sha1-96)
   3 PITAYA$@GGGM.INT (aes128-cts-hmac-sha1-96)
   3 PITAYA$@GGGM.INT (des-cbc-md5)
   3 PITAYA$@GGGM.INT (des-cbc-crc)
root@pitaya ~ # service sssd restart
root@pitaya ~ # sssctl domain-status gggm.int
Online status: Online

Active servers:
AD Global Catalog: pitaya.gggm.int
AD Domain Controller: pitaya.gggm.int

Discovered AD Global Catalog servers:
- pitaya.gggm.int

Discovered AD Domain Controller servers:
- pitaya.gggm.int

그 후, getent passwd내 도메인 사용자를 나열했지만 나머지 내 Keytab은 망쳤습니다.

kinit -khost/pitaya.gggm.int@GGGM.INT키 탭에 없기 때문에 여전히 작동하지 않지만 kinit -k PITAYA$제대로 작동합니다.

그 후 smbclient -kL pitaya작동합니다.

Keytab에 모든 SPN이 있어야하지만 net ads keytab create유효한 SPN을 생성하지는 않습니다.

유효한 키탭을 어떻게 생성 할 수 있습니까?

계속 작동 시키려고 노력하고 여기에 진행 상황을 게시하겠습니다 ... 도움을 주시면 감사하겠습니다.

마침내 내 문제를 해결할 수있었습니다 ...

SSSD에서 pac 서비스를 활성화하면 분명히 도움이되었습니다.

sssd.conf

[sssd]
services = nss, pam, sudo, ssh, pac, ifp

또한 기계의 비밀 키 재생성으로 나머지 문제 해결이 완료되었습니다. 여기서 문제는 문제가있는 시스템이 도메인의 AD DC라는 것입니다. 따라서 도메인에 다시 가입 할 수 없었습니다.

다음 명령은 머신의 비밀 키를 재생성하고 새 키 탭을 생성했습니다.

adcli update --verbose  --computer-password-lifetime=0 --domain=gggm.int

그런 다음 키탭을 확인하십시오.

root@pitaya ~ # klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
4 PITAYA$@GGGM.INT
4 PITAYA$@GGGM.INT
4 PITAYA$@GGGM.INT
4 PITAYA$@GGGM.INT
4 PITAYA$@GGGM.INT
4 host/pitaya.gggm.int@GGGM.INT
4 host/pitaya.gggm.int@GGGM.INT
4 host/pitaya.gggm.int@GGGM.INT
4 host/pitaya.gggm.int@GGGM.INT
4 host/pitaya.gggm.int@GGGM.INT
4 host/PITAYA@GGGM.INT
4 host/PITAYA@GGGM.INT
4 host/PITAYA@GGGM.INT
4 host/PITAYA@GGGM.INT
4 host/PITAYA@GGGM.INT
4 ldap/pitaya.gggm.int@GGGM.INT
4 ldap/pitaya.gggm.int@GGGM.INT
4 ldap/pitaya.gggm.int@GGGM.INT
4 ldap/pitaya.gggm.int@GGGM.INT
4 ldap/pitaya.gggm.int@GGGM.INT
4 ldap/PITAYA@GGGM.INT
4 ldap/PITAYA@GGGM.INT
4 ldap/PITAYA@GGGM.INT
4 ldap/PITAYA@GGGM.INT
4 ldap/PITAYA@GGGM.INT
4 gc/pitaya.gggm.int@GGGM.INT
4 gc/pitaya.gggm.int@GGGM.INT
4 gc/pitaya.gggm.int@GGGM.INT
4 gc/pitaya.gggm.int@GGGM.INT
4 gc/pitaya.gggm.int@GGGM.INT
4 gc/PITAYA@GGGM.INT
4 gc/PITAYA@GGGM.INT
4 gc/PITAYA@GGGM.INT
4 gc/PITAYA@GGGM.INT
4 gc/PITAYA@GGGM.INT
4 RestrictedKrbHost/pitaya.gggm.int@GGGM.INT
4 RestrictedKrbHost/pitaya.gggm.int@GGGM.INT
4 RestrictedKrbHost/pitaya.gggm.int@GGGM.INT
4 RestrictedKrbHost/pitaya.gggm.int@GGGM.INT
4 RestrictedKrbHost/pitaya.gggm.int@GGGM.INT
4 RestrictedKrbHost/PITAYA@GGGM.INT
4 RestrictedKrbHost/PITAYA@GGGM.INT
4 RestrictedKrbHost/PITAYA@GGGM.INT
4 RestrictedKrbHost/PITAYA@GGGM.INT
4 RestrictedKrbHost/PITAYA@GGGM.INT
4 krbtgt/pitaya.gggm.int@GGGM.INT
4 krbtgt/pitaya.gggm.int@GGGM.INT
4 krbtgt/pitaya.gggm.int@GGGM.INT
4 krbtgt/pitaya.gggm.int@GGGM.INT
4 krbtgt/pitaya.gggm.int@GGGM.INT
4 krbtgt/PITAYA@GGGM.INT
4 krbtgt/PITAYA@GGGM.INT
4 krbtgt/PITAYA@GGGM.INT
4 krbtgt/PITAYA@GGGM.INT
4 krbtgt/PITAYA@GGGM.INT

내 Keytab에 컴퓨터의 모든 SPN에 대한 KVNO 4가 포함되어 있음을 알 수 있습니다. 이제 다음 명령이 작동합니다!

root@pitaya ~ # kinit -k
root@pitaya ~ # klist
Ticket cache: FILE:/tmp/krb5cc_500_ChLPIV
Default principal: host/pitaya.gggm.int@GGGM.INT
Valid starting     Expires            Service principal
24/01/19 21:18:54  25/01/19 07:18:54  krbtgt/GGGM.INT@GGGM.INT
renew until 25/01/19 21:18:54
root@pitaya ~ # kinit -k PITAYA$
root@pitaya ~ # klist
Ticket cache: FILE:/tmp/krb5cc_500_ChLPIV
Default principal: PITAYA$@GGGM.INT
Valid starting     Expires            Service principal
24/01/19 21:19:00  25/01/19 07:19:00  krbtgt/GGGM.INT@GGGM.INT
renew until 25/01/19 21:19:00
root@pitaya ~ # smbclient -kL pitaya
Domain=[GGGM] OS=[Windows 6.1] Server=[Samba 4.5.12-Debian]
Sharename       Type      Comment
---------       ----      -------
netlogon        Disk
sysvol          Disk
home            Disk
IPC$            IPC       IPC Service (Pitaya)
Domain=[GGGM] OS=[Windows 6.1] Server=[Samba 4.5.12-Debian]
Server               Comment
---------            -------
Workgroup            Master
---------            -------

이제 인증 ( login ghigad작동, 도브 코트 인증 작동 등)이 작동하고 GSSAPI를 사용하여 SSH 서비스에 로그인 할 수 있습니다.