У меня периодически возникают проблемы с аутентификацией на моих серверах Ubuntu 15.04. Я спросил об этой проблеме прямо здесь: Ошибка типа шифрования Kerberos
Мои контроллеры домена Windows на данный момент являются смешанными версиями (мы работаем над устранением старых контроллеров домена и обновлением до последней версии). Как я могу проверить, на каком контроллере домена аутентифицируется каждый блок Ubuntu? Он просто использует DNS для поиска DC. Будет ли каждый ящик всегда использовать один и тот же DC, пока он доступен, или будет использоваться какой-то круговой алгоритм? Поскольку проблема периодически возникает, мне любопытно узнать, связана ли она только с определенными контроллерами домена.
По умолчанию ваша система будет выполнять циклический поиск, в том числе для Kerberos. Если вы хотите устранить эту проблему с конкретными контроллерами домена, я предлагаю добавить запись файла HOSTS для yourdomain.com и укажите его на конкретный контроллер. Это, как правило, более безопасный метод, чем обновление всей конфигурации Kerberos.
Редактировать:
В ответ на ответ Энди редактирование sssd.conf будет работать если рассматриваемая система использует sssd, а проблема заключается в sssd. Опасность заключается в других приложениях, которые также могут использовать доменное имя для привязки. В результате вы можете получить противоречивые результаты. Именно поэтому я предлагаю метод файла hosts. Это влияет на весь сервер, а не только на одну службу. Я обнаружил, что это полезно в средах с несколькими администраторами, особенно когда /etc не находится под контролем версии.
В дополнение к тому, что все сказали, krb5_child.log показывает очень подробную информацию (в той степени, в какой это дает libkrb5):
{(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69409: Отправка запроса (274 байта) в WIN.TRUST.TEST
(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69457: отправка начального UDP-запроса в dgram 192.168.122.90:88
(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70323: Получен ответ (100 байт) от dgram 192.168.122.90:88
(Вс, 1 ноября, 21:08:05 2015 г.) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70394: ответ от главного KDC
enter code h(Sun Nov 1 21:08:05 2015) [[sssd[ldap_child[22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69409: Sending request (274 bytes) to WIN.TRUST.TEST
(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69457: отправка первоначального UDP-запроса в dgram 192.168.122.90:88
(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70323: Получен ответ (100 байт) от dgram 192.168.122.90:88
(Вс, 1 ноября, 21:08:05 2015) [[sssd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70394: ответ был от главного KDC
Должна быть возможность указать постоянный ток с помощью параметра "ad_server" в sssd.conf:
ad_server = dctotest.example.org