Я установил контроллер домена Samba 4 Active Directory в AWS EC2 для своего малого бизнеса. Я пытаюсь настроить AWS Workmail для использования этого каталога. Я выполнил инструкции Amazon Вот чтобы настроить экземпляр AD Connector, связанный с моей установкой Samba 4. Консоль AWS Directory Service показывает статус коннектора как «Активный», и мне удалось создать организацию Workmail, используя этот каталог. Однако, когда на любой из панелей управления для этой организации отображается баннер ошибки, который гласит:
The connection to your directory cannot be established, error message
reported by Directory:
Authentication failed. Request id: 22b5a534-e08c-4e1a-9b5e-396f8922ebe8.
You can verify that your settings are correct using AWS Directory Service
Documentation. Contact AWS Support if the issue remains.
В журналах сервера Samba я нахожу следующее:
ldb_wrap open of secrets.ldb
Kerberos: TGS-REQ awsadconnector@CORP.MYBUSINESS.COM from
ipv4:172.30.5.246:56436 for ldap/addc01.corp.mybusiness.com@CORP.MYBUSINESS.COM
Kerberos: TGS-REQ authtime: 2019-10-20T23:06:00 starttime: 2019-10-20T23:06:00 endtime: 2019-10-21T09:06:00 renew till: unset
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
Starting GENSEC mechanism gssapi_krb5_sasl
gensec_gssapi: NO credentials were delegated
SASL/GSSAPI Connection from client will have no cryptographic protection
Terminating connection - 'ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
single_terminate: reason[ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
dreplsrv_notify_schedule(5) scheduled for: Sun Oct 20 23:06:09 2019 UTC
dreplsrv_notify_schedule(5) scheduled for: Sun Oct 20 23:06:14 2019 UTC
Может ли кто-нибудь сказать мне, что вызывает эту проблему, и предложить решение? Кому-нибудь удалось заставить AWS AD Connector взаимодействовать с Samba 4?
Проблема с ошибкой аутентификации была исправлена добавлением
ldap server require strong auth = no
к /etc/smb.conf. Однако это исправление выявило другую проблему. Версия Samba, которую я использовал, не поддерживала представления виртуального списка. В результате этой проблемы в журналах появилось следующее сообщение:
ldapsrv_do_call: Critical extension 2.16.840.1.113730.3.4.9 is not known to this server
Чтобы решить эту проблему, я установил более свежую версию Samba (4.6.7). Оказалось, что эта версия потребовала еще одного изменения: эта версия Samba, похоже, использовала более широкий диапазон значений для конечных точек RPC. Я открыл порты 1024-65535 для TCP-трафика в группе безопасности Amazon.
После всех этих изменений я теперь могу видеть своих пользователей Samba в Amazon WorkMail.