6 votos

Ubuntu 12.04, Windows 2012 Integración con Active Directory, Kerberos no se resolverá de servicio de los directores

después de haber revisado toda la red de internet, literalmente, espero que me puedan obtener ayuda aquí.

Estoy tratando de lograr la integración de ubuntu 12.04 servidores en un Windows 2012 de active directory con el nfs y el inicio de sesión único.

programa de instalación:

  • srv02 Windows server
  • srv03 Ubuntu servidor de archivos
  • srv04 aplicación de Ubuntu server

  • dominio: lettrich.local

  • reino: LETTRICH.LOCAL

lo que funciona

  • windows 2012 ANUNCIO de configuración con dhcp y dns ntp
  • ubuntu servidores registert en ad con msktutil y llegar
    1. tickets de kerberos para los usuarios (por ejemplo. kinit Administrator@LETTRICH.LOCAL obras)
    2. y máquinas ( kinit-k srv03$@LETTRICH.LOCAL obras),
    3. los uids y gids se resuelven mediante la administración de identidad para UNIX en AD y sssd más de gssapi.

Lo que no funciona:

  • montaje de un recurso compartido de NFS en srv04 alojado en srv03.
  • conseguir un ticket de kerberos para el servicio de los directores.

por ejemplo.

sudo kdestroy
sudo kinit -k
kinit: Client 'host/srv03.lettrich.local@LETTRICH.LOCAL' not found in Kerberos database while getting initial credentials

krb5.keytab en srv03, analógico para srv04.

sudo klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  10 srv03$@LETTRICH.LOCAL (arcfour-hmac) 
  10 srv03$@LETTRICH.LOCAL (aes128-cts-hmac-sha1-96) 
  10 srv03$@LETTRICH.LOCAL (aes256-cts-hmac-sha1-96) 
  10 nfs/srv03.lettrich.local@LETTRICH.LOCAL (arcfour-hmac) 
  10 nfs/srv03.lettrich.local@LETTRICH.LOCAL (aes128-cts-hmac-sha1-96) 
  10 nfs/srv03.lettrich.local@LETTRICH.LOCAL (aes256-cts-hmac-sha1-96) 
  10 host/srv03.lettrich.local@LETTRICH.LOCAL (arcfour-hmac) 
  10 host/srv03.lettrich.local@LETTRICH.LOCAL (aes128-cts-hmac-sha1-96) 
  10 host/srv03.lettrich.local@LETTRICH.LOCAL (aes256-cts-hmac-sha1-96)

las exportaciones nfs:

cat /etc/exports
/export               gss/krb5(rw,fsid=0,no_subtree_check,sync,insecure,crossmnt,anonuid=65534,anongid=65534)
/export/users           gss/krb5(rw,no_subtree_check,sync,insecure,nohide,anonuid=65534,anongid=65534)
/export/groups           gss/krb5(rw,no_subtree_check,sync,insecure,nohide,anonuid=65534,anongid=65534)
/export/share           gss/krb5(rw,no_subtree_check,sync,insecure,nohide,anonuid=65534,anongid=65534)
/export/backup           gss/krb5(rw,no_subtree_check,sync,insecure,nohide,anonuid=65534,anongid=65534)

montaje en srv04

sudo mount -t nfs4 -o sec=krb5 srv03:/export /mnt

me da el error

srv04 rpc.gssd[754]: ERROR: No credentials found for connection to server srv03

Active directory tiene tanto srv03 y srv04 aparece como dominio de los ordenadores con correcta de los nombres principales de servicio.(nombre cambiado)

service principal name = nfs/srv03.lettrich.local; host/srv03.lettrich.local

Donde está mi error? (y sí, el tiempo está en sincronía ;-) )

Proporcionará más información si es necesario.

Gracias a todos de antemano que están dispuestos a ayudar.

1voto

Znik Puntos 71

En primer lugar, usted debe registrar directamente y volver registro DNS para los nuevos servidores linux. Registrar esta en el dominio de windows.

En segundo lugar, en servidores Linux punto de resolución de DNS de Windows y modificar /etc/hosts en linux para los campos correctamente

En tercer lugar, debe instalar Kerberos5 y winbind aplicaciones/módulos/bibliotecas

Cuarto, configurar /etc/krb5.conf:

[libdefaults]
    default_realm = YOUR.FULL.DOMAIN.WITH.UPPER.CHARS

[realms]
    YOUR.FULL.DOMAIN.WITH.UPPER.CHARS = {
            kdc = list of IPs windows domain servers
            admin_server = one ip for master domain server
    }

[domain_realm]
    your.full.comain.with.lover.chars = YOUR.FULL.DOMAIN.WITH.UPPER.CHARS

[logging]
#example logging
    kdc = FILE:/var/log/kerberos/krb5kdc.log
    admin_server = FILE:/var/log/kerberos/kadmin.log
    default = FILE:/var/log/kerberos/krb5lib.log

Quinto, configurar /etc/samba/smb.conf:

[global]
workgroup = YOUR.SHORT.DOMAIN.WITH.UPPER.CASE
netbios name = YOUR.SERVER.NAME.WITH.UPPER.CASE.WITHOUT.DOMAIN
realm = YOUR.FULL.DOMAIN.WITH.UPPER.CHARS
security = ads
password server = windows.ip.server.what.allows.password.change
wins server = as.above.supports.wins.messages
wins proxy = no
kerberos method = system keytab
dedicated keytab file = /etc/krb5.keytab
server string = write what you want using %h as host name
dns proxy = no
idmap config * : backend = rid
idmap config * : range = 10000-20000
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
winbind separator = +
winbind refresh tickets = yes
template shell = /bin/bash
template homedir = /home/%D/%U
preferred master = no
inherit acls = Yes
map acl inherit = Yes
acl group control

Sixsth, comprobar que son capaces de conectarse usando temporalmente cualquier usuario:

wbinfo -t   #test only
net getdomainsid  #should print local and domain identifier
wbinfo -u   #domain user list, may take long time for many users
wbinfo -g   #domain group list

Séptimo, crear técnico de la cuenta de usuario que la contraseña nunca caduca y no se puede cambiar. Otros dejan por defecto. Recoger ese usuario en los ANUNCIOS de directorio :)

Octavo, generar clave:

net anuncios keytab crear-U your.technical.user@YOUR.FULL.DOMAIN.WITH.UPPER.CHARS

a continuación, compruebe /etc/krb5.keytab existe

Ahora usted puede configurar otros servicios, especialmente mediante ntlm ayudante. Puedes probar la conexión mediante:

ntlm_auth --username UPPER.CASE.SHORTNAME.DOMAIN+your.technical.username

escribir contraseña, y usted debe ver el estado:

NT_STATUS_OK: Success (0x0)

Ahora puede configurar PAM para autenticar muchos servicios, pero no hice esto. Yo hice uso de esa config con apache2.2 la autenticación ntlm. Vi pam de configuración de ssh y Xsession.

La idea principal es que sólo se autentica winbind para Active Directory. Todos los demás servicios autentica localmente a winbind por cualquier medio. Winbind es parte de la samba. Si usted no necesita samba, instalar sólo winbind, este instala algunos samba bibliotecas.

A veces, cuando se configura la conexión, wbinfo no se conecte. A continuación, debe esperar un momento, 5 o más minutos para información de dominio de propagación.

Por supuesto, el tiempo en todos los mashines debe estar en sintonía. Configurar NTP para esto. Estoy usando debian, ubuntu pero hace todo similar a debian :) buena suerte.

0voto

TheFiddlerWins Puntos 1905

¿Cómo crear el Spn para los clientes?

He tenido buenos resultados usando Samba para ello (net ads join).

0voto

Michael Puntos 36

Tengo que admitir, que con el tiempo me olvidé de contestar y cerrar este hilo. Siguiendo estas instrucciones, junto con la creación de la correcta SSSDconfiguration resuelto mis problemas: http://ubuntuforums.org/showthread.php?t=1924660

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: