Не работает автоматическая авторизация при подключении сетевых папок в домене

0

1

Доброго дня. Есть доменная сеть с парой виндовых контроллеров доменов. В нее включен линуксовый сервер с сетевыми папками. На пользовательских ПК подключение папок происходит через gio mount. Проблема в том, что при подключении папки запрашиваются данные для авторизации (логин/домен/пароль). После ввода данных папка подключается. Раньше все работало без запроса данных, но после обновления серверов доменных котроллеров началась такая хрень. Вопрос, в какую сторону примерно копать, чтобы это дело исправить?

← Где посмотреть лист совместимости дисков для сервера Dell?

Когда systemd таргет считеться достигнутым? →

Проверь, что на samba сервере происходит получение kerberos тикета через

kinit user@DOMAIN.LOCAL

И в klist он есть.

Далее если Linux машины в домене и подключение происходит по кербероз тикету - имена пользователей должны быть в FQDN формате.

Проверь, что на самба и клиентах разрешается доменное имя доменной зоны и возвращаются имена контроллеров домена:

nslookup domain.local

Время должно быть синхронизировано. Возможно, при включении системы (Линукс клиентов) есть существенное расхождение во времени на клиенте, самба севере и контроллерах домена.

kostik87 ★★★★★
(19.05.26 10:58:34 MSK)

Ответ на: комментарий от kostik87 19.05.26 10:58:34 MSK

Спасибо

С получением тикета возникла проблема:

kinit: Device or resource busy while getting initial credentials

Решилась прописыванием адресов новых доменных контроллеров в /etc/krb5.conf в секции realms. Теперь тикет приходит. по klist отображается.

По nslookup так выглядит:

Server: адрес_DC1

Address: адрес_DC1#53

Name: domain.ru

Address: адрес_DC1

Name: domain.ru

Address: адрес_DC2

Время, пока, не проверял - нет доступа к контроллерам.

baron_P
(19.05.26 13:02:45 MSK) автор топика

Ответ на: комментарий от baron_P 19.05.26 13:02:45 MSK

Решилась прописыванием адресов новых доменных контроллеров в /etc/krb5.conf в секции realms.

Так вы пропишите вместо конкретных контроллеров - DNS суффикс домена, т.е. domain.ru или что там у вас.

kostik87 ★★★★★
(19.05.26 13:14:23 MSK)

Ответ на: комментарий от baron_P 19.05.26 13:02:45 MSK

Время, пока, не проверял - нет доступа к контроллерам

По идее, при расхождении времени kinit не отрабатывал бы.

fat-II ★
(19.05.26 13:16:05 MSK)

Ответ на: комментарий от fat-II 19.05.26 13:16:05 MSK

В зависимости от уровня леса и версии Windows Server может быть как 5 минут, так и больше допустимо. И это ещё и изменить можно.

kostik87 ★★★★★
(19.05.26 13:17:04 MSK)
Последнее исправление: kostik87 19.05.26 13:17:18 MSK (всего исправлений: 1)

Ответ на: комментарий от kostik87 19.05.26 13:17:04 MSK

После того, как прописал новые контроллеры в /etc/krb5.conf на сервере и на клиентских машинах проблема решилась.

Лучше прописать в kdc и в admins_server вместо конкретного сервера суффикс домена?

baron_P
(19.05.26 13:35:35 MSK) автор топика

Ответ на: комментарий от baron_P 19.05.26 13:35:35 MSK

Проверьте, я уже не помню. Можете посмотреть в документации по samba / krb5_user.

kostik87 ★★★★★
(19.05.26 13:59:46 MSK)
Последнее исправление: kostik87 19.05.26 14:00:02 MSK (всего исправлений: 1)

Ответ на: комментарий от kostik87 19.05.26 13:59:46 MSK

Не нашел про такое информации. Везде серверы прописывают. Ну, не важно. Через Анзибл разлил по машинам, работает и хорошо. Если смениться адрес, новый конфиг разлить недолго.

baron_P
(19.05.26 14:32:25 MSK) автор топика

← Где посмотреть лист совместимости дисков для сервера Dell?

Admin

Когда systemd таргет считеться достигнутым? →

Похожие темы