winbindd: kinit foi bem-sucedido, mas ads_sasl_spnego_krb5_bind falhou: Não é possível entrar em contato com nenhum KDC para o domínio solicitado

Question

winbindd: kinit foi bem-sucedido, mas ads_sasl_spnego_krb5_bind falhou: Não é possível entrar em contato com nenhum KDC para o domínio solicitado

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Enquanto procura razões para iniciar sessão em máquinas de samba juntou-se ao Active Directory é lento Eu tenho a strong impressão de que o seguinte erro no meu arquivo de log pode ser uma dica.

Apr  3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820,  0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
Apr  3 14:44:14 eu2 winbindd[19632]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

Há cerca de 5 a 20 dessas entradas para cada conexão e estou tentando entender onde está o problema. Depois de dias pesquisando, o mais próximo que posso chegar é outra pergunta do SF , que sugere possíveis problemas de DNS.

Os fatos:

1 / kinit funcionou e recebi um ingresso

root@eu2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
04/03/2014 13:55:24  04/03/2014 23:55:24  krbtgt/[email protected]
        renew until 04/04/2014 13:55:19

2 / /etc/krb.conf é

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Essa configuração vem do Wiki do Samba e do Active Directory .

3 / Verifiquei que o DNS está fazendo seu trabalho (para citar o wiki acima):

root@eu2:~# host -t srv _kerberos._tcp.DOMAIN.EXAMPLE.COM
;; Truncated, retrying in TCP mode.
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server1.etc.etc...
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server2.etc.etc...
(...)

4 / winbind versão é 4.1.6-Debian

5 / navegar pelas ações da máquina que requerem acesso autenticado é rápido e não gera registros de erros. Logging faz. Talvez este seja um problema do PAM?

Alguma ideia do que a mensagem de erro nos logs pode significar e qual seria a causa raiz típica?

samba kerberos winbind

por WoJ 03.04.2014 / 15:01

2 respostas

Tags samba kerberos winbind

Puppet: substitua o parâmetro no nome do fato Parâmetro maxconn do servidor em haproxy

score 1 · Answer 1

Remover o avahi-daemon corrige o problema na minha máquina.

Encontrei a solução aqui: link

score 0 · Answer 2

0

Você também pode verificar as entradas SRV no subdomínio _msdcs?

link

por 03.04.2014 / 15:29