Я установил Samba 4.9.5-Debian с участием Active Directory роль на Debian 10. Установка настроена с SAMBA_INTERNAL Серверная часть DNS. Когда я пытаюсь подключиться к LDAPS с подключенным к домену ноутбуком с Windows 10 с ldp.exe, я получаю сообщение об ошибке ниже. Расшифрованный 389 работает нормально.
ld = ldap_sslinit("smb-dc01", 636, 1);
Error 0 = ldap_set_option(hLdap, LDAP_OPT_PROTOCOL_VERSION, 3);
Error 81 = ldap_connect(hLdap, NULL);
Server error: <empty>
Error <0x51>: Fail to connect to smb-dc01.
Настройки в ldp.exe:
Connect ->
Server: smb-dc01
Port: 636
SSL: checked
При попытке подключить LDAP к машине, присоединенной к домену, журнал DC /var/log/samba/log.samba показывает:
[2020/04/02 17:41:11.671421, 3] ../lib/ldb-samba/ldb_wrap.c:332(ldb_wrap_connect)
ldb_wrap open of secrets.ldb
[2020/04/02 17:41:11.695211, 3] ../source4/smbd/service_stream.c:67(stream_terminate_connection) stream_terminate_connection: Terminating connection - 'ldapsrv_accept_tls_loop: tstream_tls_accept_recv() - 32:Broken pipe'
Если я добавлю следующую строку в компьютер с Windows 10 хозяева файл, то машина подключится к LDAPS.
192.168.23.54 smb-dc01
Я не уверен, что не так с конфигурацией. Не присоединен к домену машины работают с одинаковыми настройками. Кажется весьма странным, что не присоединенный к домену машины работают лучше, чем присоединенный к домену.
/etc/samba/smb.conf
# Global parameters
[global]
dns forwarder = 192.168.23.5
netbios name = SMB-DC01
realm = DM.EXAMPLE.COM
server role = active directory domain controller
workgroup = DM
idmap_ldb:use rfc2307 = yes
tls enabled = yes
tls keyfile = tls/smb-dc01.key
tls certfile = tls/smb-dc01-server.cer
tls cafile = tls/root-ca.cer
# Debugging / logging
# https://serverfault.com/questions/389166/how-to-debug-samba-authorization-authentication-procedure
log level = 3
[netlogon]
path = /var/lib/samba/sysvol/dm.example.com/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
/etc/resolv.conf
domain dm.example.com
search dm.example.com
nameserver 192.168.23.54
/etc/krb5.conf
[libdefaults]
default_realm = DM.EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = true
/ etc / hosts
127.0.0.1 localhost
192.168.23.54 smb-dc01.dm.example.com smb-dc01
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Я тестировал две разные машины с Windows 10, одна из которых присоединена к другому домену, а другая - без домена. Подключение к LDAPS работает хорошо, когда DNS настроен на использование Samba DC.
Журнал /var/log/samba/log.samba успешного подключения / отключения:
# Connect
[2020/04/02 17:38:17.646796, 3] ../lib/ldb-samba/ldb_wrap.c:332(ldb_wrap_connect)
ldb_wrap open of secrets.ldb
# Disconnect
[2020/04/02 17:39:42.623855, 2] ../source4/dsdb/kcc/kcc_periodic.c:785(kccsrv_samba_kcc)
Calling samba_kcc script
[2020/04/02 17:39:42.825060, 0] ../lib/util/util_runcmd.c:327(samba_runcmd_io_handler)
/usr/sbin/samba_kcc: ldb_wrap open of secrets.ldb
[2020/04/02 17:39:43.090504, 3] ../lib/util/util_runcmd.c:291(samba_runcmd_io_handler)
samba_runcmd_io_handler: Child /usr/sbin/samba_kcc exited 0
[2020/04/02 17:39:43.090585, 3] ../source4/dsdb/kcc/kcc_periodic.c:770(samba_kcc_done)
Completed samba_kcc OK
[2020/04/02 17:39:44.216277, 3] ../source4/smbd/service_stream.c:67(stream_terminate_connection)
stream_terminate_connection: Terminating connection - 'ldapsrv_call_wait_done: call->wait_recv() - NT_STATUS_LOCAL_DISCONNECT'
Что ж, написание хорошо структурированного вопроса помогает собственному мышлению. Я обнаружил, что нужно добавить полное доменное имя в subjectAltNames в OpenSSL конфигурации перед генерацией запроса на подпись сертификата.
В конфигурации ниже строки DNS.2 = smb-dc01.dm.example.com был добавлен.
smb-dc01-openssl.conf
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn
[ dn ]
C=AT
ST=Wien
L=Wien
O=DM
OU=IT
emailAddress=it@example.com
CN = smb-dc01.dm.example.com
[ req_ext ]
subjectAltName = @alt_names
[ alt_names ]
DNS.1 = smb-dc01
DNS.2 = smb-dc01.dm.example.com
DNS.3 = smb-dc01.dm
DNS.4 = smb-dc01.example
DNS.5 = smb-dc01.example.com
Я использую эту команду для генерации ключа и подтверждения запроса на подпись:
openssl req -out "smb-dc01.csr" -newkey rsa:2048 -nodes -keyout "smb-dc01.key" -config "smb-dc01-openssl.conf"
Я подписываю / создаю сертификат на сервере Win 2012 R2 с Услуги центра сертификации установлен на нем. Использовался шаблон веб-сервера, поскольку он имеет идентификатор объекта проверки подлинности сервера (1.3.6.1.5.5.7.3.1) (также известный как OID).
Документ https://support.microsoft.com/en-us/help/321051/how-to-enable-ldap-over-ssl-with-a-third-party-certification-authority заявляет, что полное доменное имя должно быть либо в CN, либо в альтернативном имени субъекта, но кажется, что с Samba AD DC 4.9.5 также требуется полное доменное имя в альтернативном имени субъекта.