Active Directory 도메인 가입 문제

9

Ubuntu SSSD 및 Active Directory 안내서 에 따라 Ubuntu 16.04 서버를 Windows 2003 R2 도메인에 가입하려고합니다 . 내 관리자는 컨트롤러 측에서 도메인의 일부라고 말합니다. 그러나 SSSD는 시작할 수없고 net ads join실패합니다.

krb5.conf설치 프로그램에 의해 수정 이제이있다되었다 :

kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
        default_realm = COMAPNYNAME.LOCAL

이전 설치 [realms]에서는 설치 중에 요청한 다른 것이 있다고 생각 했지만 이번에는 무엇을 요구하지 않았는지 기억할 수 없습니다.

smb.conf:

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = COMPANYNAME
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = COMPANYNAME.LOCAL
   security = ads

sssd.conf:

kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL

[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

SSSD 서비스를 시작할 수 없지만

kyle@Server21:~$ systemctl status sssd.service
● sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
  Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)

Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.

이 가이드에는 소유권과 권한이 중요하다고 말합니다.

kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x   2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw-------   1 root root  172 Jun 21 14:22 sssd.conf

nsswitch.conf:

kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

hosts:

kyle@Server21:~$ cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       Server21.COMPANYNAME.LOCAL Server21
192.168.11.11   Server21.COMPANYNAME.LOCAL Server21

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

여기서 문제가 시작됩니다. 다음 sudo을 실행하는 데 사용 합니다 kinit.

kyle@Server21:~$ sudo kinit adminstrator
kinit: Client 'adminstrator@COMPANYNAME.LOCAL' not found in Kerberos database while getting initial credentials

sudo그래도 떨어 뜨리면 인증됩니다 .

kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: administrator@COMPANYNAME.LOCAL
Password for administrator@COMPANYNAME.LOCAL:
Authenticated to Kerberos v5

그리고 티켓을 확인할 수 있습니다.

kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@COMPANYNAME.LOCAL

Valid starting       Expires              Service principal
06/23/2016 13:41:55  06/23/2016 23:41:55  krbtgt/COMPANYNAME.LOCAL@COMPANYNAME.LOCAL
        renew until 06/24/2016 13:41:48

그러나 도메인에 가입하려고하면 :

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

이전 NT_STATUS_UNSUCCESSFUL에 가이드에서 언급 한 메시지를 받았지만 hosts파일 을 수정하여 문제를 해결할 수있었습니다 .

이 가이드에서는 컴퓨터 계정이 Active Directory에서 만들어 졌는지 확인하는 방법에 대해 설명합니다. 그리고 내 관리자는 그가 기계를 잘 볼 수 있다고 말해서 괜찮습니다. 두 번째 확인 옵션은 내가 그 명령에서 무엇을 되 찾아야하는지 알려주지 않지만 아무 것도받지 않아 작동하지 않는다고 생각합니다.

그래서 내가 여기서 잘못 가고 있습니까?

편집하다:

내가 한 일을 잘 모르겠지만 SSSD가 현재 실행 중입니다.

windows  samba  dns  active-directory 
embed.kyle
소스
Ubuntu 14.04는 시스템이 아닌 가동을 사용했습니다. 그 출력은 비린내가 있습니다.
muru
@muru 오타가 유감입니다. 16.04에 있습니다. 질문이 수정되었습니다.
embedded.kyle

답변:

3

문제는 관리자가이 서버의 도메인 컨트롤러에 항목을 생성 한 것으로 보입니다. 이로 인해 충돌을 일으켜 Kerberos에 가입하려고 할 때 다음 오류가 발생했습니다.

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

내 관리자가 서버가 도메인 끝 부분 realmd에 가입했으며 내가 참가했음을 표시 했기 때문에이 오류가 완전히 정확한지 확실하지 않습니다 .

kyle@Server21:~$ realm join COMPANYNAME.LOCAL
realm: Already joined to this domain

성공적인 Kerberos 연결을 위해 수행 한 단계는 다음과 같습니다.

  1. 관리자가 도메인 컨트롤러에서 항목을 제거했습니다
  2. 다음을 사용하여 Kerberos 구성을 재실행하십시오. sudo dpkg-reconfigure krb5-config
  3. 구성에서 옵션을 선택하여 도메인 컨트롤러 [realms]krb5.conf
  4. 새 레코드가 작성되도록 호스트 이름을 변경했습니다.
  5. 다음을 사용하여 새 티켓을 뽑았습니다. kinit
  6. 사용하여 도메인에 가입 sudo net ads join -k

최종 결과:

kyle@SERV21:~$ sudo net ads join -k  
Using short domain name -- COMPANYNAME  
Joined 'SERV21' to dns domain 'CompanyName.Local'
embed.kyle
소스
0

키탭이 빠진 것 같습니다. kadmin 도구를 통해 만들 수 있습니다. 키탭을 추가하는 방법을 보려면 kadmin을 입력 하고 프롬프트에 help 를 입력 하십시오.

사용자 2959348
소스
/etc/krb5.keytab이미 존재하며 서버 이름 및 도메인 이름과 함께 일부 암호화 된 항목이 산재되어 있습니다. 추가 파일을 만들어야합니까?
embedded.kyle
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.