Я следил за этим Настройка Samba в качестве контроллера домена Active Directory - wiki и все вроде нормально (kinit,klist,net ads user,net ads group работай).
Добавление пользователей без пароля также работает, но если я установлю какой-либо пароль, это не удастся:
net ads user add tester test1234
Ошибка:
Не удалось добавить тестировщика пользователей. Ошибка при установке пароля. Невозможно связаться с KDC для запрашиваемой области.
Я прочитал и попробовал ответы на несколько похожих вопросов, например:
... и больше
Я также несколько раз переустанавливал ОС. При чистой установке устанавливаются только дополнительные пакеты: samba, krb5-user, libpam-krb5, winbind, libpam-winbind, ldb-tools, ntp, smbclient, smbldap-tools
Версии:
Мои файлы конфигурации:
/etc/samba/smb.conf
# Global parameters
[global]
dns forwarder = 192.168.10.30
netbios name = ADS3
realm = AAA-AAA.NET
server role = active directory domain controller
workgroup = AAA-AAA
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/aaa-aaa.net/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
/etc/krb5.conf
[libdefaults]
default_realm = AAA-AAA.NET
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
AAA-AAA.NET = {
kdc = ads3.aaa-aaa.net:88
admin_server = ads3.aaa-aaa.net
}
[domain_realm]
.aaa-aaa.net = AAA-AAA.NET
aaa-aaa.net = AAA-AAA.NET
/ etc / hosts
127.0.0.1 localhost.localdomain localhost
192.168.10.33 ads3.aaa-aaa.net ads3
/etc/resolv.conf
domain aaa-aaa.net
search aaa-aaa.net
nameserver 192.168.10.30
Примечание: systemd-resolved был отключен, чтобы предотвратить обновление resolv.conf.
Вывод:
Nmap localhost
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
88/tcp open kerberos-sec
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
636/tcp open ldapssl
3268/tcp open globalcatLDAP
3269/tcp open globalcatLDAPssl
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
информация о чистой рекламе
LDAP server: 192.168.10.33
LDAP server name: ads3.aaa-aaa.net
Realm: AAA-AAA.NET
Bind Path: dc=AAA-AAA,dc=NET
LDAP port: 389
Server time: Wed, 15 Aug 2018 14:35:33 JST
KDC server: 192.168.10.33
Server time offset: 0
dig -t srv _kerberos._udp.aaa-aaa.net
; <<>> DiG 9.11.3-1ubuntu1.1-Ubuntu <<>> -t srv _kerberos._udp.aaa-aaa.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34079
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;_kerberos._udp.aaa-aaa.net. IN SRV
;; Query time: 0 msec
;; SERVER: 192.168.10.30#53(192.168.10.30)
;; WHEN: Wed Aug 15 14:37:09 JST 2018
;; MSG SIZE rcvd: 44
Примечание. DNS-сервер (192.168.10.30) работает под управлением dnsmasqd и работает правильно. ads3.aaa-aaa.net решает 192.168.10.33.
Кадмин
Authenticating as principal administrator/admin@AAA-AAA.NET with password.
kadmin: Client 'administrator/admin@AAA-AAA.NET' not found in Kerberos database while initializing kadmin interface
Я также заглянул в kadmin ошибка без успеха. Я пробовал установить krb5-kdc и krb5-admin-server, но они мешают настройке (не могут использовать kinit).
Любая помощь приветствуется.
В соответствии с Michael в единственном ответе (до сих пор) на вопрос Конфигурация Samba4 и Kerberos на выделенном сервере, нет необходимости устанавливать krb5-kdc / krb5-admin-server отдельно, так что это не так.
Мы обнаружили, что ответ DNS в нашей настройке был ошибочным, samba_dnsupdate --verbose --all-names сообщал:
dns.resolver.NXDOMAIN: имя запроса DNS не существует
поэтому мы добавили следующие правила в dnsmasq.conf на нашем DNS сервере (192.168.10.30):
server=/aaa-aaa.net/192.168.10.33
srv-host=_ldap._tcp.aaa-aaa.net,ads3.aaa-aaa.net,389
srv-host=_kerberos._udp.aaa-aaa.net,ads3.aaa-aaa.net,88
Мы протестировали их с другого компьютера:
host -t SRV _ldap._tcp.aaa-aaa.net.
host -t SRV _kerberos._udp.aaa-aaa.net.
И теперь ответ теперь в порядке. Пример:
_kerberos._udp.aaa-aaa.net имеет запись SRV 0 0 88 ads3.aaa-aaa.net.
Также samba_dnsupdate --verbose --all-names вывод кажется правильным.
Текущий статус на данный момент:
kadmin (как и раньше)
kadmin: Клиент «administrator/admin@AAA-AAA.NET» не найден в базе данных Kerberos при инициализации интерфейса kadmin
net ads user add tester test1234
Не удалось добавить тестировщика пользователей. Ошибка установки пароля Операция запрещена
Мы смогли установить пароли пользователей с помощью других команд:
pdbedit -a -u tester (подскажет ввод пароля) samba-tool user setpassword --newpassword=test1234 tester
Мы смогли подключиться из Windows, так что на данный момент это решено. Если кто знает почему kadmin терпит неудачу и почему net команда не может устанавливать пароли, я приму этот ответ.