Eu segui a configuração 3 da integração do RedHat AD ( link ); mas estou preso.
Estou no Centos 6.8.
Eu tenho uma conexão AD ativa:
service sssd stop
rm -r /var/lib/sss/db/*
rm -r /var/lib/sss/mc/*
service sssd start
getent passwd [email protected]
Isso retorna uma linha sensata:
robau:*:102201201:102200513:Rob Audenaerde:/:
No entanto, quando tento conectar-me por SSH, não consigo fazer login. Eu habilitei a depuração SSSD em todos os componentes de nível 5 no sssd.conf .
O erro que vejo (em var/log/sssd/krb5_child.log ) é:
(Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [validate_tgt] (0x0020): TGT failed verification using key for [host/[email protected]].
(Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [get_and_save_tgt] (0x0020): 1240: [-1765328377][Server not found in Kerberos database]
(Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [map_krb5_error] (0x0020): 1301: [-1765328377][Server not found in Kerberos database]
(Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [k5c_send_data] (0x0200): Received error code 1432158209
O servidor está no DNS, posso encontrá-lo usando nslookup
nslookup server-new.mynetwork.nl
Server: 192.168.110.56
Address: 192.168.110.56#53
Name: server-new.mynetwork.nl
Address: 192.168.210.94
e
kvno host/[email protected]
kvno: Server not found in Kerberos database while getting credentials for host/[email protected]
Alguma sugestão / dicas para solução de problemas?
[EDITAR]
Eu usei authconfig para configurar as coisas necessárias de pam e nss :
authconfig --enablesssdauth --enablesssd --enablemkhomedir --update
Saída de klist -kte :
25 06/20/16 10:56:24 host/[email protected] (des-cbc-crc)
25 06/20/16 10:56:24 host/[email protected] (des-cbc-md5)
25 06/20/16 10:56:24 host/[email protected] (aes128-cts-hmac-sha1-96)
25 06/20/16 10:56:24 host/[email protected] (aes256-cts-hmac-sha1-96)
25 06/20/16 10:56:24 host/[email protected] (arcfour-hmac)
25 06/20/16 10:56:24 host/[email protected] (des-cbc-crc)
25 06/20/16 10:56:24 host/[email protected] (des-cbc-md5)
25 06/20/16 10:56:25 host/[email protected] (aes128-cts-hmac-sha1-96)
25 06/20/16 10:56:25 host/[email protected] (aes256-cts-hmac-sha1-96)
25 06/20/16 10:56:25 host/[email protected] (arcfour-hmac)
25 06/20/16 10:56:25 [email protected] (des-cbc-crc)
25 06/20/16 10:56:25 [email protected] (des-cbc-md5)
25 06/20/16 10:56:25 [email protected] (aes128-cts-hmac-sha1-96)
25 06/20/16 10:56:25 [email protected] (aes256-cts-hmac-sha1-96)
25 06/20/16 10:56:26 [email protected] (arcfour-hmac)
Saída de klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]
Valid starting Expires Service principal
06/20/16 10:56:41 06/20/16 20:56:41 krbtgt/[email protected]
renew until 06/27/16 10:56:41
06/20/16 11:36:07 06/20/16 20:56:41 ldap/[email protected]
renew until 06/27/16 10:56:41
[EDIT 2]
Se eu adicionar krb5_validate no final da seção sssd.conf [domain / mynetwork.local], poderei fazer o login. No entanto, eu também configurei outro servidor que não precisava dessa etapa, então estou relutante em deixar assim.
[EDIT 3]
Durante o net ads join -k , recebo um erro / aviso:
DNS Update for failed: ERROR_DNS_GSS_ERROR
DNS update failed!
[EDIT 4]
Eu vejo a saída de net ads info não está usando o controlador de domínio principal que eu especifiquei em meus arquivos de configuração (e é 2003R2 e não 2008R2). Existe uma maneira de "forçar" o net ads join -k a usar um controlador de domínio específico?