Назад | Перейти на главную страницу

winbindd: kinit успешно выполнено, но не удалось выполнить ads_sasl_spnego_krb5_bind: невозможно связаться ни с одним KDC для запрошенной области

В поисках причин, почему вход в систему на машинах самбы, подключенных к Active Directory, происходит медленно У меня сложилось впечатление, что следующая ошибка в моем файле журнала может быть намеком.

Apr  3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820,  0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
Apr  3 14:44:14 eu2 winbindd[19632]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

Для каждого соединения существует от 5 до 20 таких записей, и я пытаюсь понять, в чем проблема. После нескольких дней поисков самое близкое, что я могу найти, это еще один вопрос SF что предполагает возможные проблемы с DNS.

Факты:

1 / kinit работал и я получил билет

root@eu2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: yop@DOMAIN.EXAMPLE.COM

Valid starting       Expires              Service principal
04/03/2014 13:55:24  04/03/2014 23:55:24  krbtgt/DOMAIN.EXAMPLE.COM@DOMAIN.EXAMPLE.COM
        renew until 04/04/2014 13:55:19

2 / /etc/krb.conf является

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Эта конфигурация взята из Samba и Active Directory Wiki.

3 / Я проверил, что DNS выполняет свою работу (цитируя вики выше):

root@eu2:~# host -t srv _kerberos._tcp.DOMAIN.EXAMPLE.COM
;; Truncated, retrying in TCP mode.
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server1.etc.etc...
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server2.etc.etc...
(...)

4 / winbind версия 4.1.6-Debian

5 / просмотр общих ресурсов машины, для которых требуется аутентифицированный доступ, выполняется быстро и не создает журналов ошибок. Вход в систему делает. Может это проблема PAM?

Есть идеи, что может означать сообщение об ошибке в журналах и какова будет типичная основная причина?

Удаление avahi-daemon устраняет проблему на моей машине.

Я нашел решение здесь: https://lists.samba.org/archive/samba/2013-January/171069.html

Можете ли вы также проверить записи SRV в поддомене _msdcs?

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetworkBrowsing.html#adsdnstech