加入 Active Directory 域时遇到问题

Question

加入 Active Directory 域时遇到问题

emb*_*yle 9 windows samba dns active-directory

我正在尝试按照Ubuntu SSSD 和 Active Directory 指南将 Ubuntu 16.04 服务器加入 Windows 2003 R2 域。我的管理员说，从控制器端来看，它是域的一部分。但是 SSSD 似乎无法启动并net ads join失败。

该krb5.conf由安装程序修改，现在有这个：

kyle@Server21:~$ cat /etc/krb5.conf
[libdefaults]
        default_realm = COMAPNYNAME.LOCAL

Run Code Online (Sandbox Code Playgroud)

在之前的安装中，我认为[realms]在安装过程中还要求其他一些东西，但我不记得是什么而且这次没有要求。

我的smb.conf：

[global]

## Browsing/Identification ###

# Change this to the workgroup/NT-domain name your Samba server will part of
   workgroup = COMPANYNAME
   client signing = yes
   client use spnego = yes
   kerberos method = secrets and keytab
   realm = COMPANYNAME.LOCAL
   security = ads

Run Code Online (Sandbox Code Playgroud)

我的sssd.conf：

kyle@Server21:~$ sudo cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = COMPANYNAME.LOCAL

[domain/COMPANYNAME.LOCAL]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

Run Code Online (Sandbox Code Playgroud)

虽然 SSSD 服务似乎无法启动：

kyle@Server21:~$ systemctl status sssd.service
? sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Wed 2016-06-22 09:57:57 EDT; 37min ago
  Process: 16027 ExecStart=/usr/sbin/sssd -D -f (code=exited, status=1/FAILURE)

Jun 22 09:57:55 Server21 sssd[16038]: Starting up
Jun 22 09:57:55 Server21 sssd[16041]: Starting up
Jun 22 09:57:55 Server21 sssd[16042]: Starting up
Jun 22 09:57:56 Server21 sssd[be[16043]: Starting up
Jun 22 09:57:57 Server21 sssd[be[16043]: Failed to read keytab [default]: No such file or directory
Jun 22 09:57:57 Server21 sssd[16031]: Exiting the SSSD. Could not restart critical service [COMPANYNAME.LOCAL].
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Control process exited, code=exited status=1
Jun 22 09:57:57 Server21 systemd[1]: Failed to start System Security Services Daemon.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Unit entered failed state.
Jun 22 09:57:57 Server21 systemd[1]: sssd.service: Failed with result 'exit-code'.

Run Code Online (Sandbox Code Playgroud)

而且由于指南说所有权和权限很重要：

kyle@Server21:~$ sudo ls -la /etc/sssd
total 12
drwx--x--x   2 sssd sssd 4096 Jun 21 14:34 .
drwxr-xr-x 103 root root 4096 Jun 22 10:21 ..
-rw-------   1 root root  172 Jun 21 14:22 sssd.conf

Run Code Online (Sandbox Code Playgroud)

我的nsswitch.conf：

kyle@Server21:~$ cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat sss
group:          compat sss
shadow:         compat sss
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files sss
ethers:         db files
rpc:            db files

netgroup:       nis sss
sudoers:        files sss

Run Code Online (Sandbox Code Playgroud)

我的hosts：

kyle@Server21:~$ cat /etc/hosts
127.0.0.1       localhost
127.0.1.1       Server21.COMPANYNAME.LOCAL Server21
192.168.11.11   Server21.COMPANYNAME.LOCAL Server21

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Run Code Online (Sandbox Code Playgroud)

这就是麻烦开始的地方。使用sudo运行kinit结果如下：

kyle@Server21:~$ sudo kinit adminstrator
kinit: Client 'adminstrator@COMPANYNAME.LOCAL' not found in Kerberos database while getting initial credentials

Run Code Online (Sandbox Code Playgroud)

如果我删除它，它将进行身份验证sudo：

kyle@Server21:~$ kinit -V administrator
Using default cache: /tmp/krb5cc_1000
Using principal: administrator@COMPANYNAME.LOCAL
Password for administrator@COMPANYNAME.LOCAL:
Authenticated to Kerberos v5

Run Code Online (Sandbox Code Playgroud)

我可以验证票证：

kyle@Server21:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@COMPANYNAME.LOCAL

Valid starting       Expires              Service principal
06/23/2016 13:41:55  06/23/2016 23:41:55  krbtgt/COMPANYNAME.LOCAL@COMPANYNAME.LOCAL
        renew until 06/24/2016 13:41:48

Run Code Online (Sandbox Code Playgroud)

但是当我尝试加入域时：

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Run Code Online (Sandbox Code Playgroud)

我之前收到了NT_STATUS_UNSUCCESSFUL指南中提到的消息，但能够通过修改我的hosts文件来解决这个问题。

该指南讨论了验证计算机帐户是否是在 Active Directory 中创建的。我的管理员说他可以很好地看到机器，所以我相信这没问题。第二个验证选项没有告诉我应该从该命令返回什么，但我没有收到任何信息，所以我认为它不起作用。

那么我哪里出错了？

编辑：

我不确定我做了什么，但 SSSD 现在正在运行。

Answer 1

emb*_*yle 3

问题似乎是我的管理员在域控制器上为此服务器创建了一个条目。这显然导致了冲突，导致 Kerberos 在尝试加入时遇到以下错误：

kyle@Server21:~$ sudo net ads join -k
Failed to join domain: failed to lookup DC info for domain 'COMPANYNAME.LOCAL' over rpc: An internal error occurred.

Run Code Online (Sandbox Code Playgroud)

我不确定这个错误是否完全准确，因为我的管理员说服务器已加入他的域并realmd表明我也已加入：

kyle@Server21:~$ realm join COMPANYNAME.LOCAL
realm: Already joined to this domain

Run Code Online (Sandbox Code Playgroud)

我成功加入 Kerberos 所遵循的步骤如下：

管理员删除了域控制器中的条目
使用以下命令重新运行 Kerberos 配置：sudo dpkg-reconfigure krb5-config
选择配置中的选项以将域控制器显式添加到以下[realms]部分krb5.conf
更改主机名以确保创建新记录
使用以下方式拉出一张新票kinit
使用加入域sudo net ads join -k

最后结果：

kyle@SERV21:~$ sudo net ads join -k  
Using short domain name -- COMPANYNAME  
Joined 'SERV21' to dns domain 'CompanyName.Local'

Run Code Online (Sandbox Code Playgroud)

归档时间：	9 年，4 月前
查看次数：	36728 次
最近记录：	9 年，4 月前