Доброго времени суток всем.
Преамбула:
Существует централизованная сеть, объединяющая множество филиалов в единую ЛВС, под управление контролера домена на Microsoft Windows 2008 R2. Основной контроллер домена физически располагается в центральном офисе. В филиалах установлены доп.контроллеры домена в режиме ro (только чтение) с периодической репликацией.
Суть:
Потребовалось создать файловый сервер в филиале (я нахожусь в филиале и не имею доступа к настройкам основного DC). За основу был выбран Ubuntu server. Решено было поставить ОС без графики, доступ файлов для windows-машинок решил возложить на Samba с acl. Примером для настройки послужили статьи:
«https://help.ubuntu.ru/wiki/%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_%D0%B4%D0%BB%D1%8F_windows»
и «https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows».
Но при вводе в домен происходит ошибка:
# net ads join -U username -D DOMAIN.RU
Failed to join domain: failed to find DC for domain DOMAIN.RU
В принципе такая ошибка понятна и предсказуема: в филиале то контролер домена в ro, поэтому требуется указать непосредственно название DC:
# net ads join -U username -D DOMAIN.RU -S DC01Вот тут то и ошибка, которую уже несколько дней не могу победить. Перелазил все возможные ссылки, которые выдают поисковики, перечитал кучу манов, но решения так и не нашел.
[2011/08/17 00:16:57, 0] libads/sasl.c:819(ads_sasl_spnego_bind)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Decrypt integrity check failed
Failed to join domain: failed to connect to AD: Decrypt integrity check failed
Из вышесказанного ответа я вижу, что киберос билетик мне дает, что в принципе kinit подтверждает:
# kinit usernameА вот что-то с названием ads_sasl_spnego_krb5_bind выдает ошибку, не позволяющую интегрировать Samba c Active Directory, ссылаясь на ошибку шифрования (поправьте меня, если я ошибаюсь).
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: username@DOMAIN.RU
Valid starting Expires Service principal
08/17/11 00:21:30 08/17/11 10:21:36 krbtgt/DOMAIN.RU@DOMAIN.RU
renew until 08/18/11 00:21:30
Что же, один результат, который выдал поисковик (http://timpage.ru/pub/ADUnixLDAPsign.html) натолкнул на мысль о подобной настройке на основном DC. Пробуем добавить в smb.conf строчку:
client ldap sasl wrapping = signпосле чего ребутим Samba.
В итоге результат тот же, правда с небольшим отличием. Теперь к предыдущему сообщению добавляется «Unspecified GSS failure. Minor code may provide more information»:
# net ads join -U username -D DOMAIN.RU -S DC01
[2011/08/17 00:54:25, 0] libads/sasl.c:819(ads_sasl_spnego_bind)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Unspecified GSS failure. Minor code may provide more information : Decrypt integrity check failed
Failed to join domain: failed to connect to AD: Unspecified GSS failure. Minor code may provide more information : Decrypt integrity check failed
Собственно прошу помощи разобраться, где именно допущена ошибка, и возможно ли ее вылечить? Как писал выше, сам справиться не могу, поисковики помочь не могут.
Моя конфигурация:
Ubuntu Server 10.04.3
Samba Version: 2:3.4.7~dfsg-1ubuntu3.7
Провожу содержимое ключевых конфигурационных файлов:
Искренне жду помощи. Заранее спасибо.
P.S.
Так же хотелось бы обратить Ваше внимание на то, что с помощью инструмента likewise-open машинка весело и не принужденно влетает в домен. Но только остается одна большая проблема: Samba ни в какую не хочет дружиться с likewise-open. В тех манах и инструкциях, которые мне удалось найти, очень мало информации об интеграции этих двух служб меду собой, и как следствие — интеграции Samba и Active Directory. Те же мануалы, которые есть, не соответствуют действительности (похоже в Ubuntu 10.04 сильно модифицирован данный пакет). Нет likewise-open демона, хотя это не беда, он просто называется по другому. Нет перечисленных в манах инструментов. Нет возможности интегрировать Samba и likewise-open посредством «ln -s» на secrets.tdb, так как secrets.tdb которым якобы руководствуется likewise-open просто отсутствует.
Возможно, в связи с тем, что средствами самого Samba и КиберОС нет возможности интеграции с AD, быть может likewise-open — это единственный выход (по крайней мере машинка вгоняется в домен), но тогда прошу помощи в настройке связи Samba и AD средствами likewise-open в Ubuntu. Быть может кто нибудь еще попадет в данную неприятную ситуацию и ему это поможет. Во всяком случая я очень нуждаюсь в помощи сейчас.
Искреннее спасибо.
-
#1
Hello,
I’m struggling with freebsd and samba as domain member. It’s takes 3 days, searching, reading and nothing
I have another machine with Samba4 AD DC. Everything is ok and working perfect — windows machines connecting to the domain, linux mint and debian too.
I’m trying to connect freebsd machine to the same domain (testing dns, pinging etc works perfect). Samba is working good but when I give security = ADS parameter Samba going down.
Kinit command working good.
Info from samba log afte give security = ADS parameter:
Code:
"2020/11/18 14:58:47.557571, 0] ../../source3/smbd/server.c:1784(main)
smbd version 4.13.0 started.
Copyright Andrew Tridgell and the Samba Team 1992-2020
[2020/11/18 14:58:48.976053, 0] ../../source3/auth/auth_util.c:1403(make_new_session_info_guest)
create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX
[2020/11/18 14:58:48.994832, 0] ../../source3/smbd/server.c:2050(main)
ERROR: failed to setup guest info.
[2020/11/18 15:00:13.642219, 0] ../../source3/smbd/server.c:1784(main)
smbd version 4.13.0 started.
Copyright Andrew Tridgell and the Samba Team 1992-2020
[2020/11/18 15:00:13.968645, 0] ../../source3/auth/auth_util.c:1403(make_new_session_info_guest)
create_local_token failed: NT_STATUS_INVALID_PARAMETER_MIX
[2020/11/18 15:00:13.970111, 0] ../../source3/smbd/server.c:2050(main)
ERROR: failed to setup guest info."
Info from nmbd log after give security = ADS parameter:
Code:
[2020/11/18 14:58:47.061112, 0] ../../source3/nmbd/nmbd.c:960(main)
nmbd version 4.13.0 started.
Copyright Andrew Tridgell and the Samba Team 1992-2020
[2020/11/18 14:58:47.082827, 0] ../../lib/util/become_daemon.c:136(daemon_ready)
daemon_ready: daemon 'nmbd' finished starting up and ready to serve connections
[2020/11/18 14:59:11.106914, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
*****
Samba name server FREEBSD is now a local master browser for workgroup XXX on subnet 192.168.1.9
*****
[2020/11/18 15:00:12.893715, 0] ../../source3/nmbd/nmbd.c:59(terminate)
Got SIGTERM: going down...
[2020/11/18 15:00:13.172491, 0] ../../source3/nmbd/nmbd.c:960(main)
nmbd version 4.13.0 started.
Copyright Andrew Tridgell and the Samba Team 1992-2020
[2020/11/18 15:00:13.181203, 0] ../../lib/util/become_daemon.c:136(daemon_ready)
daemon_ready: daemon 'nmbd' finished starting up and ready to serve connections
[2020/11/18 15:00:37.305872, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
*****
Samba name server FREEBSD is now a local master browser for workgroup XXX on subnet 192.168.1.9
*****
[2020/11/18 15:06:00.104433, 0] ../../source3/nmbd/nmbd_incomingdgrams.c:304(process_local_master_announce)
process_local_master_announce: Server XXX-HOST at IP 192.168.1.2 is announcing itself as a local master browser for workgroup XXX and we think we are master. Forcing election.
[2020/11/18 15:06:00.105012, 0] ../../source3/nmbd/nmbd_become_lmb.c:150(unbecome_local_master_success)
*****
Samba name server FREEBSD has stopped being a local master browser for workgroup XXX on subnet 192.168.1.9
*****
[2020/11/18 15:06:19.005770, 0] ../../source3/nmbd/nmbd_become_lmb.c:397(become_local_master_stage2)
*****I tried: samba 410,411,412,413 (FreeBSD 12.2, FreeBSD 11.4) — the same problem
It’s bug or something ?
Parameters like: local master = no and other giving no resluts.
Someone have the solution ?
I’m sorry for my english.
Thank you.
-
Thread Starter
-
#2
Link below can help to start all samba services but I still have the problem:
Failed to join domain: failed to find DC for domain ads — The object was not found.
Link: https://kiskeyix.org/articles/409
Samba PANIC: Could not fetch our SID — did we join?
From the solving-mysteries dept. (19891) (3) by Luis
Got WINS in your domain but your winbindd stopped working in your samba workstation? In order to fix this you need two things done:
Edit /etc/samba/smb.conf and make sure that you have the following in your [global] section:
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/falseMake sure that those IDs are not used by your own system (hint: getent passwd)
Get your domain SID in secrets.tdb:
sudo net rpc getsid
Edit /etc/nsswitch.conf and add wins to do host lookups.
hosts: files dns wins
I’m amazed that nobody actually solved this mystery before.
-
Thread Starter
-
#3
unfortunately in my case command:
net ads join dc.xxx.local -U administrator
don’t work — maybe someone explain me why, dns works fine … ?
instead of command above I used this:
net ads join -S dc.xxx.local -U administrator
and finally it seems to work …
below my config file
smb4.conf
[global]
workgroup = XXX
password server = *
realm = XXX.LOCAL
security = ads
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind use default domain = false
winbind offline logon = true
idmap_ldb:use rfc2307 = yes
log file = /var/log/samba4/log.%m
max log size = 50
passdb backend = tdbsam
load printers = yes
cups options = raw
also maybe I found the bug or maybe I don’t know about something but the file
/var/db/samba4/bind-dns/named.conf is not correct — missing part is marked below:
dlz «AD DNS Zone» {
# For BIND 9.16.x
database «dlopen /usr/local/lib/samba4/modules/bind9/dlz_bind9_16.so»;
};
-
Thread Starter
-
#4
Hi,
For testing I made 2 freebsd virtual machines.
One is the active directory domain and second should be domain member, but in my case it is not possible to join this machine as domain memeber and make it works.
What is very important windows machines can join to the domain, I see share files etc.
Domain name: ipro.lan
#nslookup 192.168.1.4
4.1.168.192.in-addr.arpa name = ipro.lan.
4.1.168.192.in-addr.arpa name = ns.ipro.lan.
—-
# nslookup ipro.lan
Server: 192.168.1.4
Address: 192.168.1.4#53Name: ipro.lan
Address: 192.168.1.4
—-
# dig 192.168.1.4
; <<>> DiG 9.16.8 <<>> 192.168.1.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 44775
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 9bf9fd3816d84a97010000005fbe935c871c3e4d185cd9bb (good)
;; QUESTION SECTION:
;192.168.1.4. IN A;; AUTHORITY SECTION:
. 9576 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2020112500 1800 900 604800 86400;; Query time: 3 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Nov 25 18:24:44 CET 2020
;; MSG SIZE rcvd: 143
—
# dig ipro.lan
; <<>> DiG 9.16.8 <<>> ipro.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 65081
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: c2d33513b4487cc1010000005fbe9392e37caaf37fd4f1b1 (good)
;; QUESTION SECTION:
;ipro.lan. IN A;; ANSWER SECTION:
ipro.lan. 900 IN A 192.168.1.4;; Query time: 1 msec
;; SERVER: 192.168.1.4#53(192.168.1.4)
;; WHEN: Wed Nov 25 18:25:38 CET 2020
;; MSG SIZE rcvd: 81
—
smb4.conf (domain member machine)
[global]
workgroup = IPRO
server string = Samba Server Version %v
security = ads
realm = IPRO.LAN
domain master = no
local master = no
preferred master = no
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072
use sendfile = truededicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytabidmap config * : backend = tdb
idmap config * : range = 100000-299999
idmap config IPRO : backend = rid
idmap config IPRO : range = 10000-99999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
template homedir = /home/%D/%U
template shell = /bin/falseclient use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba4/log.%m
max log size = 50
message after net join command
net join ads -U administrator
Enter administrator’s password:
Failed to join domain: failed to find DC for domain ads — The object was not found.
ADS join did not work, falling back to RPC…
Enter administrator’s password:
kinit works in both machines, pings working nice.
AD DC machine is set to work with BIND9_DLZ
I can’t find the proper guide how to set it up. Tried everything I think.
I need your help. Thank you.
Last edited: Nov 27, 2020
-
#5
Don’t open multiple threads about the same problem please.
Threads merged.
-
Thread Starter
-
#6
Ok. I give up. Don’t waste your time. Samba is broken on freebsd.
It’s immposible to set it right.
Samba 4.10.13 no nsupdate
I am debugging a DNS problem with a recently installed samba DC. However, in this process I attempted to run samba_dnsupdate —verbose which resulted in a number of errors similar to: Failed nsupdate: SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.brockley-2016.harte-lyne.ca…
forums.freebsd.org
Код:
sudo apt-get install fly-admin-ad-clientЭто всё что вам нужно. После этого: панель управления->Сеть->fly-admin-ad
Код:
sudo apt-get install fly-admin-ad-clientЭто всё что вам нужно. После этого: панель управления->Сеть->fly-admin-ad
После этого захожу в «Настройка Active Dirrectory», затем ввожу все данные, нажимаю подключиться и мне выдает ошибку «Failed to join domain: failed to find dc for domaint TEST — {Operation failed} The requested operation was unsaccessful.«
После этого захожу в «Настройка Active Dirrectory», затем ввожу все данные, нажимаю подключиться и мне выдает ошибку «Failed to join domain: failed to find dc for domaint TEST — {Operation failed} The requested operation was unsaccessful.»
Ну значит что-то не то вводите или с DNS проблема
Ну значит что-то не то вводите или с DNS проблема
Комп с виндой входит в этот домен, так что проблема не в DNS. В какою сторону копать? В чем может быть проблема?
Смотрите в сторону dns, возможно нужно донастроить его. Недавно с такой-же проблемой сталкивался.
Если у меня домен test.net то поле «имя домена» я оставляю пустым, а в «контроллер домена» пишу «test.net»? Все варианты уже перепробовал, не выходит подключения
Смотрите в сторону dns, возможно нужно донастроить его. Недавно с такой-же проблемой сталкивался.
Можете подробнее рассказать, как вы донастраивали?
I am trying to create a test environment in AWS (using EC2 instances / virtual machines) that has a Windows Server running Active Directory Domain Services and a CentOS linux server that I want to join to that domain.
However, because it is in AWS and AWS controls the IP addresses, I do not have complete control over the network interface of these servers. On the Windows Server in particular, I cannot change the Private IP (although I can allocate another one), and I cannot
edit the network adapter.
My primary issue is that trying to join the CentOS server to the domain with realm join is returning an error:
# realm join -v -U 'administrator' '<domain>'
* Resolving: _ldap._tcp.<domain>
* Performing LDAP DSE lookup on: <ip>
* Successfully discovered: <domain>
Password for administrator:
* Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/bin/net
* LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.X5DZF0 -U administrator ads join <domain>
Enter administrator's password:
Failed to join domain: failed to find DC for domain MY - {Operation Failed} The requested operation was unsuccessful.
! Joining the domain <domain> failed
realm: Couldn't join realm: Joining the domain <domain> failed
I have been searching the web for ways to debug / find what’s going on, and one suggested that I run dcdiag.exe, which threw an error on DHCP suggesting
that the dynamic IP may be a problem:
An error event occurred. EventID: 0x00000411
Time Generated: 02/19/2020 11:39:11
Event String:
The DHCP service is not servicing any DHCPv4 clients because none of the active network interfaces have statically configured IPv4 addresses, or there are no active interfaces.
Is the DHCP issue a red herring? Any ideas why the DC would fail to resolve for the name of the workgroup (MY)?
I can connect via ldapsearchfrom the CentOS box, a tcpdump suggests
that Name query BC MY may be the problem bubbling up into this error, and name resolution seems to work fine via nslookup:
# cat /etc/resolv.conf
; generated by /usr/sbin/dhclient-script
nameserver <ip>
domain <domain>
search <domain>
# nslookup -type=srv _ldap._tcp.dc._msdcs.<domain>
Server: <ip>
Address: <ip>
_ldap._tcp.dc._msdcs.<domain> service = 0 100 389 my-ad-server.<domain>.
# nslookup my-ad-server
Server: <ip>
Address: <ip>
Name: my-ad-server.<domain>
Address: <ip>
It’s worth noting that I have very little AD experience, so I could definitely have a misconfiguration in AD somewhere. Further, it is worth noting that the workgroup name (MY) is failing
to resolve via nslookup MY… perhaps that is the crux of my problem?
Any ideas how to resolve this or suggestions on where to go from here?
-
Изменено
19 февраля 2020 г. 16:19
try to add the rest of the error message