LINUX.ORG.RU
ФорумAdmin

Ввод debian 9.4 в домен Active Directory.

 ,


1

2

Здравствуйте! Имеется: 1) контроллер домена на базе Microsoft Server 2012 R2 с именем test.local; 2) тестовая машина на основе debian 9.4.

Производим настройку по следующей статье https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-director...

И у нас возникает ошибка при вводе команды

realm join \
--verbose \
--user=администратор \
--computer-name=comp195-debian.test.local \
--user-principal="host/comp195-debian.test.local@TEST.LOCAL" \
--computer-ou="CN=Computers,DC=test,DC=local" server_dc.test.local

Вывод текста с ошибками

 * Resolving: _ldap._tcp.server_dc.test.local
 * Resolving: server_dc.test.local
 * Performing LDAP DSE lookup on: 192.168.10.2
 * Successfully discovered: test.local
 * Unconditionally checking packages
 * Resolving required packages
 * Joining using a manual netbios name: comp195-debian.test.local
 * LANG=C /usr/sbin/adcli join --verbose --domain test.local --domain-realm TEST.LOCAL --domain-controller 192.168.10.2 --computer-name comp195-debian.test.local --computer-ou CN=Computers,DC=test,DC=local --os-name Debian GNU/Linux --os-version 9.4 (Stretch) --login-type user --login-user администратор --stdin-password --user-principal=host/comp195-debian.test.local@TEST.LOCAL
 * Using domain name: test.local
 * Using computer account name: comp195-debian.test.local
 * Using domain realm: test.local
 * Sending netlogon pings to domain controller: ldap://192.168.10.2
 * Received NetLogon info from: server_dc.test.local
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-wuuNIR/krb5.d/adcli-krb5-conf-A9h0uF
 * Authenticated as user: администратор@TEST.LOCAL
 ! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
adcli: couldn't connect to test.local domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
 ! Insufficient permissions to join the domain
realm: Не удалось присоединиться к области: Insufficient permissions to join the domain

Помогите, пожалуйста, разобраться!

ну вроде как но спотыкается на уровне получения тикета по керберос, и для начала я бы не использовал тут кириллицу. сделай другую учетку админа домена на английском. очень надеюсь, что проблема в этом. Чуваки, использующие русский языке на серверах должны страдать.

constin ★★★★ ()
Ответ на: комментарий от masyagutovmz

только вместо администратор,логин с латинскими символами.

Ну так попытайтесь тогда к домену присоединиться с тем же логином.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Написали же, что пробовали и так, и так. Два одинаковых админа, просто один на латинице, другой с кириллицей. В centos 7 все без проблем, в debian такая вот проблема.

anonymous ()

Не по теме, но в 2018-м году ( хорошо, у вас сервак 2012 R2 ) админы устанавливающие tld .local должны страдать. Повторю, это не по теме, но страданий ожидайте.

anc ★★★★★ ()
Ответ на: комментарий от anc

Просто так исторически сложилось (лет 6 прошло:), но уже в этом году запланировали миграцию на другое доменное имя. Что касается пользователя, повторюсь, пробовали по всякому, дело не в пользователе. Завтра с работы выложу логи, с таким же выводом.

anonymous ()
Ответ на: комментарий от constin

Выкладываем логи.

kinit masyagutovmz@TEST.LOCAL
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: masyagutov_mz@TEST.LOCAL

Valid starting       Expires              Service principal
19.03.2018 09:40:38  19.03.2018 16:20:35  krbtgt/TEST.LOCAL@TEST.LOCAL
kinit администратор@TEST.LOCAL
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: администратор@TEST.LOCAL

Valid starting       Expires              Service principal
19.03.2018 09:37:30  19.03.2018 16:17:23  krbtgt/TEST.LOCAL@TEST.LOCAL

Вывод команды

realm join \
--verbose \
--user=masyagutovmz\
--computer-name=comp195-debian.test.local \
--user-principal="host/comp195-debian.test.local@TEST.LOCAL" \
--computer-ou="CN=Computers,DC=test,DC=local" server_dc.test.local

 * Resolving: _ldap._tcp.server_dc.test.local
 * Resolving: server_dc.test.local
 * Performing LDAP DSE lookup on: 192.168.10.2
 * Successfully discovered: test.local
 * Unconditionally checking packages
 * Resolving required packages
 * Joining using a manual netbios name: comp195-debian.test.local
 * LANG=C /usr/sbin/adcli join --verbose --domain test.local --domain-realm test.LOCAL --domain-controller 192.168.10.2 --computer-name comp195-debian.test.local --computer-ou CN=Computers,DC=test,DC=local --os-name Debian GNU/Linux --os-version 9.4 (Stretch) --login-type user --login-user masyagutov_mz --stdin-password --user-principal=host/comp195-debian.test.local@TEST.LOCAL
 * Using domain name: test.local
 * Using computer account name: comp195-debian.test.local
 * Using domain realm: test.local
 * Sending netlogon pings to domain controller: ldap://192.168.10.2
 * Received NetLogon info from: server_dc.test.local
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-9y8zAw/krb5.d/adcli-krb5-conf-8BIPFl
 * Authenticated as user: masyagutov_mz@TEST.LOCAL
 ! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
adcli: couldn't connect to test.local domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
 ! Insufficient permissions to join the domain
realm: Не удалось присоединиться к области: Insufficient permissions to join the domain
masyagutovmz ()
Ответ на: комментарий от masyagutovmz

Попробовать создать учетку компа заранее на АДе. Если присоединит, то разбираться.
Вообще сначала бы надо разбирться...

mos ★★☆☆☆ ()
Ответ на: комментарий от masyagutovmz

1) masyagutovmz - это domain admin?
2) В одном месте masyagutovmz, в другом masyagutov_mz. Попробуй делать realm join с опцией --user=masyagutov_mz@TEST.LOCAL, что-ли.
3) Убедись, что SPN для твоего хоста не существует. С виндовой машины: setspn -Q HOST/comp195-debian.test.local. Если вдруг данная команда покажет, что данный SPN есть, то удали его.
4) Using computer account name: comp195-debian.test.local Хм... Длинноватое имя для аккаунта компьютера. Для pre-Win2000 имен максимальная длина 20 символов, а у тебя 25. Попробуй без FQDN, что-ли.
5) Компьютерные аккаунты у вас точно в CN=Computers держат? Просто некоторые его редиректят.
4) На realmd свет клином не сошелся. Это всего лишь обертка для ламеров. Присоединиться к домену можно с помощью «net ads join».

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 2)
Ответ на: комментарий от bigbit

Это всего лишь обертка для ламеров.

Ну дык..😉
Ну и справедливости ради обёртка всё-таки над другим. Хотя может (мог?) и в нет адс.

mos ★★☆☆☆ ()
Ответ на: комментарий от bigbit

Ну да.
По идее если принципал уже есть то он должен обновить. Да и хостнейм оно само должно найти без опции. Впрочем, если автор путается в юзернейме, то...

mos ★★☆☆☆ ()
Ответ на: комментарий от masyagutovmz

--computer-name=comp195-debian.test.local

вот это точно неправильно, как минимум надо --computer-name=comp195-debian

По ссылке в твоей статье:

* Using computer account name: KOM-APP31
А у тебя:
* Using computer account name: comp195-debian.test.local

Такое длинное имя аккаунта компьютера просто обрежется до 20 символов, отсюда скорее всего и получаем «Server not found in Kerberos database».

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от mos

По идее если принципал уже есть то он должен обновить

Даже если SPN определен в другом computer/user аккаунте? Мне казалось, что она всегда пытается создать новый аккаунт...

Впрочем, я сам realmd не пользуюсь, у нас лес с несколькими доменами, realmd в такой конфигурации не катит.

bigbit ★★★★★ ()
Ответ на: комментарий от bigbit

1) masyagutov_mz - администратор домена. 2) это опечатка 3) Ввод команды setspn -Q HOST/comp195-debian.test.local показал такое SPN не найдено. 4) Пробовали короткое имя Comp195 с FQDN и без, та же самая ошибка. 5) Там у нас вновь введенные ПК хранятся. 6) Мы не хотим использовать samba пакет.

masyagutovmz ()
Ответ на: комментарий от masyagutovmz

Тогда tcpdump на 88 порт (Kerberos) и смотреть, какой SPN он пытался найти в AD.

bigbit ★★★★★ ()

Кстати - почему ты пытаешься джойниться в домен server_dc.test.local?
Исходя из man realm, должно быть просто test.local:
realm join ... test.local

bigbit ★★★★★ ()
Ответ на: Вопрос решен. от masyagutovmz

А как выглядела эта строка в /etc/nsswitch.conf до этого?
Просто «hosts: files» что-ли?
Ведь он же резолвил SRV-записи,и выглядело так, как будто с резолвингов все в порядке:

Resolving: _ldap._tcp.server_dc.test.local

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.