samba + авторизация ad косяк

0

1

Добрый день, хочу настроить samba в качестве файлового сервера настроил krb

nano /etc/krb5.conf




    [logging]

    default = FILE:/var/log/krb5.log

    kdc = FILE:/var/log/krb5kdc.log

    [libdefaults]

;    default_realm = PROHORY.LOCAL

;    clockskew = 500
 ;   dns_lookup_realm = false
  ;  dns_lookup_kdc = true
   ; ticket_lifetime = 324000

;default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 ;  default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
   permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
;
;default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
;

 default_tgs_enctypes = rc4-hmac
 default_tkt_enctypes = rc4-hmac
 permitted_enctypes = rc4-hmac

;Read more: http://plutonit.ru/view_post.php?id=535#ixzz4sXn4D2ji



; default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5


default_realm = PROHORY.LOCAL
 allow_weak_crypto = true
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 ticket_lifetime = 600
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true
 dns_lookup_realm = true
 dns_lookup_kdc = true
 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

    [realms]

    PROHORY.LOCAL = {

    kdc = DC1.PROHORY.LOCAL

    admin_server = DC1.PROHORY.LOCAL

    default_domain = PROHORY.LOCAL

    }

    [domain_realm]

    .prohory.local = PROHORY.LOCAL

    [login]

    krb4_convert = true

    krb4_get_tickets = false

Пытаюсь получить тикет пишет


root@LinuxServer:/etc/samba# kinit mannaz@prohory.local
Password for mannaz@prohory.local:
kinit: KDC has no support for encryption type while getting initial credentials

Ссылка

←	SOA , А и MX на разных dns

iptables

→

Что делаю не так?

mannaz2004 ★
(14.09.17 02:44:57 MSK) автор топика

Ответ на: комментарий от mannaz2004 14.09.17 02:44:57 MSK

Очевидно же пишет что не совпадают типы шифрования. Если вы пытаетесь подключиться к домену Windows, то попробуйте такие наборы:

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

gfh ★★★
(14.09.17 08:17:07 MSK)

Ответ на: комментарий от gfh 14.09.17 08:17:07 MSK

Поменял тоже самое. Не чего не поменялось.

mannaz2004 ★
(14.09.17 12:22:37 MSK) автор топика

Ссылка

Здравствуйте, а что за система у Вас стоит на контроллере домена (DC1.PROHORY.LOCAL)?

Serge10 ★★★★★
(15.09.17 15:57:10 MSK)

Чем не устраивают рекомендованные настройки из официальной вики самбы? https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member

N-N ★
(15.09.17 18:24:53 MSK)

Ответ на: комментарий от Serge10 15.09.17 15:57:10 MSK

Добрый день, Windows server 2003, да на DC1.PROHORY.LOCAL

mannaz2004 ★
(18.09.17 01:36:32 MSK) автор топика
Последнее исправление: mannaz2004 18.09.17 01:45:10 MSK (всего исправлений: 1)

Ответ на: комментарий от N-N 15.09.17 18:24:53 MSK

Ну видать потому что не чего не работает.

mannaz2004 ★
(18.09.17 01:38:28 MSK) автор топика

Ссылка

Ответ на: комментарий от mannaz2004 18.09.17 01:36:32 MSK

Windows server 2003

Попробуйте вместо приведенных Вами строк добавить следующие:

default_etypes     = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5

Serge10 ★★★★★
(18.09.17 11:07:16 MSK)

Ответ на: комментарий от Serge10 18.09.17 11:07:16 MSK

Не работает, уже не знаю что делать с этим поганим керберосом

    [logging] 

    default = FILE:/var/log/krb5.log

    kdc = FILE:/var/log/krb5kdc.log

    [libdefaults]


default_etypes     = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5


default_realm = PROHORY.LOCAL
 allow_weak_crypto = true
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 ticket_lifetime = 600
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true
 dns_lookup_realm = true
 dns_lookup_kdc = true
 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

    [realms]

    PROHORY.LOCAL = {

    kdc = DC1.PROHORY.LOCAL

    admin_server = DC1.PROHORY.LOCAL

    default_domain = PROHORY.LOCAL

    }

    [domain_realm]

    .prohory.local = PROHORY.LOCAL

    [login]

    krb4_convert = true

    krb4_get_tickets = false

root@LinuxServer:/etc/samba# kinit mannaz@prohory.local
Password for mannaz@prohory.local:
kinit: KDC has no support for encryption type while getting initial credentials

mannaz2004 ★
(19.09.17 07:20:50 MSK) автор топика
Последнее исправление: mannaz2004 19.09.17 07:21:35 MSK (всего исправлений: 1)

Ответ на: комментарий от mannaz2004 19.09.17 07:20:50 MSK

Не работает, уже не знаю что делать с этим поганим керберосом

Сравнил со своим файлом - у меня вот эти строки:

 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

закомментированы. Отсутствует вот эти строки:

ccache_type = 4

krb4_get_tickets = false

И вот здесь

.prohory.local = PROHORY.LOCAL

дополнительно прописано

prohory.local = PROHORY.LOCAL

В остальном вроде конфиг аналогичный, все без проблем работает.

На всякий случай, еще совет из разряда шаманских - поменять пароль на контроллере домена для пользователя mannaz.

Да, и, насколько я помню, в команде kinit имя домена надо набирать заглавными буквами:

kinit mannaz@PROHORY.LOCAL

Serge10 ★★★★★
(19.09.17 12:46:27 MSK)

Ответ на: комментарий от Serge10 19.09.17 12:46:27 MSK




    [logging]

    default = FILE:/var/log/krb5.log

    kdc = FILE:/var/log/krb5kdc.log

    [libdefaults]


default_etypes     = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5


default_realm = PROHORY.LOCAL
 allow_weak_crypto = true
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 ticket_lifetime = 600
 kdc_timesync = 1
 #ccache_type = 4
 forwardable = true
 proxiable = true
 dns_lookup_realm = true
 dns_lookup_kdc = true
# default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
# default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

    [realms]

    PROHORY.LOCAL = {

    kdc = DC1.PROHORY.LOCAL

    admin_server = DC1.PROHORY.LOCAL

    default_domain = PROHORY.LOCAL

    }

    [domain_realm]

    .prohory.local = PROHORY.LOCAL

        prohory.local = PROHORY.LOCAL
[login]

    krb4_convert = true

    #krb4_get_tickets = false

Создал нового пользователя mannaz1

пытаюсь подключиться пишет

root@LinuxServer:/etc/samba# kinit mannaz1@PROHORY.LOCAL
Password for mannaz1@PROHORY.LOCAL:
kinit: KDC has no support for encryption type while getting initial credentials

Во общем не работает этот тупо керберос. Не знаю в какую сторону копать уже.

mannaz2004 ★
(20.09.17 03:56:36 MSK) автор топика

Ответ на: комментарий от mannaz2004 20.09.17 03:56:36 MSK

И все-таки, удалять вот эти строчки конфига пробовали?

default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5
default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc des-cbc-md5

Serge10 ★★★★★
(20.09.17 14:48:45 MSK)

Ответ на: комментарий от Serge10 20.09.17 14:48:45 MSK

Тоже самое, косяк в керберосе суди по всему.

mannaz2004 ★
(21.09.17 07:55:12 MSK) автор топика

Ссылка

Ответ на: комментарий от Serge10 20.09.17 14:48:45 MSK

на другом linux сервере поставил керберос, завелось с пол пинка, может косяк в дистрибутиве? на debian 8 всё робит на 9 не фига не работает

mannaz2004 ★
(21.09.17 08:24:20 MSK) автор топика
Последнее исправление: mannaz2004 21.09.17 08:26:18 MSK (всего исправлений: 1)

Ответ на: комментарий от mannaz2004 21.09.17 08:24:20 MSK

9 Debian - это вроде 4 Samba? Там очень много переписали, так что вполне возможно. Да и kerberos там, если мне память не изменяет, другой... С Samba 4 у меня пока машин нет, так что тут вряд ли смогу помочь.

Удачи, Сергей.

Serge10 ★★★★★
(21.09.17 12:19:37 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SOA , А и MX на разных dns

Admin

iptables

→

Похожие темы