Страница 1 из 1

Samba периодически теряет членство в домене

Добавлено: 2017-02-27 13:00:24
fogary
Система: FreeBSD 10.3-RELEASE-p11
Установлена samba43-4.3.13_1
Самба настроена как член домена (контроллер домена на Windows Server 2012).

Проблема такая: после получения билетика керберос и введением в домен, все хорошо - шары на Самбе доступны.
Но через семь дней, Самба теряет членство в домене и шары отваливаются. Приходится повторять все заново - получать билет и присоединять к домену.

Как можно решить эту проблему?

Samba периодически теряет членство в домене

Добавлено: 2017-02-28 18:51:48
LBV

Код: Выделить всё

net ads info
и что показывают когда теряется членство?

Samba периодически теряет членство в домене

Добавлено: 2017-02-28 20:54:09
snorlov
не знаю не знаю, у меня та же самба, правда домен 2003-тий и проблем нет...

Samba периодически теряет членство в домене

Добавлено: 2017-03-01 12:42:56
fogary
LBV писал(а):

Код: Выделить всё

net ads info
и что показывают когда теряется членство?
Посмотрю когда опять отвалится. Так-то тикет действителен в течении 10 часов после получения, так что он обычно уже бывает просрочен.

Если выполнить

Код: Выделить всё

net ads testjoin
то выдает ошибку вида:

Код: Выделить всё

kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed

Samba периодически теряет членство в домене

Добавлено: 2017-03-01 15:25:14
snorlov
klist у меня тоже показывает, что просрочен, а вот

Код: Выделить всё

net ads testjoin
говорит что Ok... Вы вообще-то как первоначально конфигурировали самбу, я через

Код: Выделить всё

samba-tool
с соответствующими ключами

Samba периодически теряет членство в домене

Добавлено: 2017-03-03 11:40:45
kharkov_max
Была такая же проблема, что не делал не помогало. Хотя по настройкам был феншуй. А вот после обновлениям до freebsd11, с теми же конфигами все заработало...

Samba периодически теряет членство в домене

Добавлено: 2017-03-09 9:18:15
fogary
В очередной раз это случилось. Показывает так:

Код: Выделить всё

# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@DOMAIN.RU

  Issued                Expires        Principal
Mar  1 01:15:16 2017  >>>Expired<<<  krbtgt/DOMAIN.RU@DOMAIN.RU

# net ads info
LDAP server: 192.168.0.2
LDAP server name: X11.DOMAIN.RU
Realm: DOMAIN.RU
Bind Path: dc=DOMAIN,dc=RU
LDAP port: 389
Server time: Thu, 09 Mar 2017 08:56:20 MSK
KDC server: 192.168.0.2
Server time offset: 0

# net ads testjoin
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
Join to domain is not valid: Logon failure
За совет про freebsd11- спасибо, попробую.

Samba периодически теряет членство в домене

Добавлено: 2017-03-09 10:14:38
kharkov_max
Обновление до 11 не факт что поможет ...
Но в любом варианте, если есть возможность обновляйтесь, хуже не будет ...

Скорее всего борода где то в системном конфиге, который у меня с обновлением обновился.
Я так и не понял в итоге что это было ...

По Вашему klist у меня была такая же х..ня

Samba периодически теряет членство в домене

Добавлено: 2017-03-09 10:27:26
snorlov
У человека 2012-тый, там в политиках может быть запрещены какие-нибудь протоколы, типа 56-битное шифрование или же что-то похожее, вполне возможно надо в керберосе добавить какое-нибудь шифрование или наооборот убрать...

Samba периодически теряет членство в домене

Добавлено: 2017-03-20 14:28:10
fogary
Сделал как советуют в статье "Samba Member Server Troubleshooting" на SambaWiKi.

Создал файл krb5.keytab:

Код: Выделить всё

net ads keytab create -U Administrator
Добавил в smb.conf строки:

Код: Выделить всё

dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind refresh tickets = Yes
Прошло больше недели, пока не отваливается.