Я пытаюсь присоединить сервер Ubuntu 12.04 к Active Directory. Я установил samba
, и kb5-user
, создал учетную запись компьютера в AD и сделал:
> net ads testjoin
Join is OK
Все идет нормально. Затем я столкнулся с проблемой:
> sudo net join -U myuser
Failed to join domain: failed to set machine spn: Constraint violation
У меня нет доступа для изменения чего-либо на сервере Active Directory, поскольку я не администратор. Есть ли способ обойти эту ошибку?
Я знаю, что этот пост старый, но я столкнулся с той же проблемой, и вот что я нашел. Если вы пытаетесь добавить компьютер в домен, но не используете учетную запись «администратора домена». Права делегированной учетной записи должны включать как минимум следующее:
-Этот объект и все потомки
• Создание объектов "Компьютер"
• Удалить объекты "Компьютер"
-Дополнительные компьютерные объекты
• Прочитать все свойства
• Напишите все свойства
•Сменить пароль
•Сброс пароля
• Подтвержденная запись на имя хоста DNS
• Подтвержденная запись в субъект-службу
Надеюсь, это поможет!
Я также столкнулся с той же проблемой, что winbindd просто не запускался. Запись уже была в / etc / hosts, но мне нужно было изменить /etc/nsswitch.conf и изменить его так, чтобы сначала были файлы.
хосты: mdns4_minimal файлы nis dns mdns4 myhostname
к
хосты: файлы mdns4_minimal nis dns mdns4 myhostname
Возникла эта ошибка во время нашего производственного обновления Solaris samba и одновременного перехода на другой домен AD. Мы удалили объект в старом домене, но не сказали samba покинуть старый домен. Решение пыталось «оставить чистую рекламу», хотя в нем говорилось: «Не удалось покинуть домен: не удалось подключиться к AD: невозможно связаться ни с одним KDC для запрошенной области». Однако, должно быть, что-то прояснилось в самбе, и мы смогли присоединиться к новому домену.
Несколько замечаний, которые могут оказаться полезными, которые мы испытали при обновлении с samba 3 до samba 4:
Наличие winbind в nsswitch для passwd вызывало некоторые проблемы с изменением паролей с этой ошибкой «обнаружена неподдерживаемая конфигурация в /etc/nsswitch.conf»
Используя локальные учетные записи Unix и карту пользователей samba, нам не нужен был winbind в nsswitch для passwd или группы (или где-то еще). Фактически, если бы мы использовали winbind в nsswitch, нам пришлось бы добавить «set ngroups_max =» в / etc / system (и перезагрузить), иначе samba вызвала бы панику и дамп памяти, когда она перечислит более 16 групп. Было бы также паника, если бы он перечислил больше групп, чем.
Использование имени хоста, отличного от fqdn, для доступа к ресурсам samba в разных доменах приведет к ошибке NT_STATUS_NO_SUCH_USER. Решением было добавить [NOTFOUND = continue] для хостов после файлов и перед dns в nsswitch. то есть "хосты: файлы [NOTFOUND = continue] dns"
Это, вероятно, редкость, но я подумал, что поделюсь тем, что мы испытали.
Мне удалось решить эту проблему, добавив запись DNS для хоста перед попыткой присоединиться
Подбежал к той же проблеме ... Требуется добавить запись в / etc / hosts.
Таким образом, первая запись должна быть IP, вторая должна быть полным доменным именем для домена, к которому вы присоединяетесь, а остальные могут быть в любом порядке.
Я столкнулся с этой проблемой при попытке настроить машину с аутентификацией sssd. Да хоть убей, я не мог заставить его работать. Я использовал учетные данные администратора домена, и я использовал написанный мной сценарий, который уже работал, возможно, на дюжине хостов.
Итак, я зашел на свой сервер домена и просмотрел иерархию в поисках экземпляров имени моей машины. Я удалил их (некоторые записи выглядели довольно необычно, например "host-N55A1B", и я их тоже удалил), затем вернулся в Linux и повторил попытку установки kinit.
Работал.
Я столкнулся с той же ошибкой, даже если присоединяющийся пользователь имеет полное разрешение на уровне домена на стороне AD. Решение состояло в том, чтобы снять флажок «не требовать предварительную аутентификацию Kerberos» в пользовательских атрибутах на стороне AD присоединяющегося пользователя.