так что у меня страшная проблема «самба продолжает спрашивать пароль» в Debian Stretch.
Моя среда:
2x AD DC с WS2012R2
Несколько физических компьютеров и несколько виртуальных машин, работающих на ESXi 6.7.
Все машины могут войти в домен и получить доступ к общим ресурсам домена
Все машины могут аутентифицироваться с использованием пользователей домена
Samba изменила синтаксис для smb.conf в версии 4.6, поэтому я подумал, что это могла быть проблема, связанная с тем, что стандартные пакеты репозитория Stretch были 4.5.12, поэтому я добавил репозиторий Samba для Ubuntu под названием Samba Latest:
https://launchpad.net/~linux-schools/+archive/ubuntu/samba-latest
Сейчас я использую для Xenial версию 4.7.8.
Я получил свою конфигурацию присоединения к AD прямо из официальной вики Samba. В прошлом для меня было тривиально получить машины от FreeBSD 11.1-RELEASE до OpenSUSE Leap 15 для Raspberry Pi 3B +, работающие с Samba с использованием моей конфигурации. Нет никакого смысла в том, что он не будет работать с Debian Stretch ни со стандартными пакетами репо 4.5.12, ни с пакетами 4.7.8 от Samba-latest.
Я также только что установил Ubuntu 18.04 Bionic Beaver на ноутбуке и смог пройти аутентификацию как пользователи домена для настольного компьютера, а также через SSH и su. Я удивлен, что Debian будет вызывать у меня проблемы, если Ubuntu работает нормально, потому что они очень похожи.
Так что единственный, что не работает, - это Debian Stretch. Жалко, поскольку обычно мне очень нравится Debian, но, похоже, он действительно отстой для Samba из коробки.
Обратите внимание, что я пробовал все переменные, которые собираюсь описать, как в стандартном репозитории Samba версии 4.5.12, так и в последнем репозитории Samba 4.7.8.
Вот мои конфиги:
[global]
netbios name = DEBIAN
security = ADS
workgroup = WEBTOOL
realm = WEBTOOL.SPACE
client use spnego = no
client signing = auto
;server signing = auto
;client ntlmv2 auth = yes
;encrypt passwords = yes
log file = /var/log/samba/%m.log
log level = 1
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config WEBTOOL : backend = ad
idmap config WEBTOOL : schema_mode = rfc2307
idmap config WEBTOOL : range = 10000-999999
idmap config WEBTOOL : unix_nss_info = yes
idmap config WEBTOOL : unix_primary_group = yes
;winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind offline logon = yes
;winbind nested groups = yes
winbind refresh tickets = yes
winbind nss info = rfc2307
;winbind nss info = template
;template shell = /bin/bash
;template homedir = /home/%D/%U
Мое имя хоста и настройки / etc / hosts верны, мои указатели DNS указывают на два DC.
Мой NTP синхронизируется, как проверено с ntpq -p и:
$ date
Sat Jun 30 16:52:23 PDT 2018
Соответствует всем остальным компьютерам в моем домене.
у меня есть krb5-user установил и получил ключи от контроллеров домена как администратор как пользователь и как root.
Мой kinit работает, но мой net ads join -k или net ads join -U administrator@WEBTOOL.SPACE показывает:
$ sudo net ads join -U administrator@WEBTOOL.SPACE
Enter administrator@WEBTOOL.SPACE's password:
Using short domain name -- WEBTOOL
Joined 'DEBIAN' to dns domain 'webtool.space'
DNS Update for debian.webtool.space failed: ERROR_DNS_UPDATE_FAILED
DNS update failed: NT_STATUS_UNSUCCESSFUL
У меня нет этого сообщения ни на одной из других моих виртуальных машин, но я должен отметить, что если бы я делал это раньше, виртуальная машина все равно присоединилась бы к домену и действовала бы должным образом, и тогда оставалось только выяснить проблему оттуда. .
Вот что я пробовал:
Комментируя все, что связано с аутентификацией, в первом абзаце [global]
Изменение client use spnego = yes к = no, Изменение client signing = yes к = auto, Комментируя server signing = yes и пытаюсь = auto, Комментируя client ntlmv2 auth = yes Комментируя encrypt passwords = yes и изменив его на = no
У кого-нибудь есть идеи?