Sziasztok!
Néhány adat a probléma részletezése előtt:
# hostname --fqdn
adsamba.suli.lan
# ip addr ls eno1
2: eno1: mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 00:1e:c9:xx:yy:zz brd ff:ff:ff:ff:ff:ff
inet 10.1.1.1/16 brd 10.1.255.255 scope global eno1
valid_lft forever preferred_lft forever
Egy hónapja Debian 9-en telepítettem a Samba 4.5.8-as verzióját. AD-ként állítottam be a provision parancs ez volt:
# samba-tool domain provision \
--domain=SULI \
--realm=suli.lan \
--server-role=dc \
--use-xattrs=yes \
--use-rfc2307 \
--adminpass=xyz \
--dns-backend=SAMBA_INTERNAL \
--ldapadminpass=zyx
Tegnapig működött is szépen, azonban tegnap reggel óta (a telepítés után pontosan egy hónap elteltével) nem lehet belépni a tartományi felhasználói nevekkel. Vagyis be lehet lépni, de csak ideiglenes felhasználói profillal, és nem csatolja fel a hálózati megosztásokat, home könyvtárat, tehát a csoportházirend sem érvényesül. Kiléptettem a gépet (Win10), de utána azonban már be sem tudtam léptetni a gépet a tartományba, azzal a hibaüzenettel, hogy "Helytelen a felhasználónév vagy a jelszó".
A telepítés után az első parancsok egyike voltak a következők:
# samba-tool user setexpiry --noexpiry administrator
# samba-tool domain passwordsettings set --max-pwd-age=0
A jelszavakra vonatkozó beállítások az alábbiak:
# samba-tool domain passwordsettings show
Password informations for domain 'DC=suli,DC=lan'
Password complexity: off
Store plaintext passwords: off
Password history length: 24
Minimum password length: 7
Minimum password age (days): 1
Maximum password age (days): 0
Account lockout duration (mins): 30
Account lockout threshold (attempts): 0
Reset account lockout after (mins): 30
A samba-tool -lal tudom listázni a felhasználókat, csoportokat, stb, az alábbi parancsok is működnek, igaz még a jelszó bekérése előtt minkét parancs esetén megjelenik a következő "Cannot do GSSAPI to an IP address":
# samba-tool dns zonelist 10.1.1.1 -U Administrator
# samba-tool dns zonelist localhost -U Administrator
Viszont ha ugyanezt a parancsot hostnévvel futtatom, akkor az már nem működik (pedig korábban működött):
# samba-tool dns zonelist adsamba -U Administrator
Password for [SULI\Administrator]:
dcerpc: bind_nak reason 0 - NT_STATUS_UNSUCCESSFUL
dcerpc: bind_nak reason 0 - NT_STATUS_UNSUCCESSFUL
Failed to bind to uuid 50abc2a4-574d-40b3-9d66-ee4fd5fba076 for ncacn_ip_tcp:10.1.1.1[1024,sign,target_hostname=adsamba,abstract_syntax=50abc2a4-574d-40b3-9d66-ee4fd5fba076/0x00000005,localaddress=10.1.1.1] NT_STATUS_UNSUCCESSFUL
ERROR: Connecting to DNS RPC server adsamba failed with (-1073741823, 'Undetermined error')
Úgy látom, hogy ugyanezt a hibát kapom minden olyan esetben, amikor samba-tool parancsban az IP cím helyett a hostnevet használom.
Pedig az alábbi parancsok működnek a szerveren:
# host -t A adsamba
adsamba.suli.lan has address 10.1.1.1
# host -t A adsamba.suli.lan
adsamba.suli.lan has address 10.1.1.1
# host -t SRV _ldap._tcp.suli.lan
_ldap._tcp.suli.lan has SRV record 0 100 389 adsamba.suli.lan.
# host -t SRV _kerberos._tcp.suli.lan
_kerberos._tcp.suli.lan has SRV record 0 100 88 adsamba.suli.lan.
Meglepő módon a Win10-es klienseken is fel tudom oldani az adsamba és adsamba.suli.lan neveket az nslookup-pal, de pl. a megosztást csak IP címmel tudom felcsatolni
A samba log levelt 3-ra állítva az alábbi hibaüzenet keletkezik a /var/log/samba/log.smbd fájlban, ha megpróbálok belépni egy tartományba léptett gépen tartományi felhasználóval:
[2017/08/28 13:46:52.808786, 2] ../lib/util/modules.c:196(do_smb_load_module)
Module 'samba4' loaded
[2017/08/28 13:46:52.824061, 1] ../source4/auth/gensec/gensec_gssapi.c:622(gensec_gssapi_update)
GSS server Update(krb5)(1) Update failed: Miscellaneous failure (see text): Failed to find ADSAMBA$@SULI.LAN(kvno 2) in keytab FILE:/var/lib/samba/private/secrets.keytab (aes256-cts-hmac-sha1-96)
[2017/08/28 13:46:52.824126, 1] ../auth/gensec/spnego.c:545(gensec_spnego_parse_negTokenInit)
SPNEGO(gssapi_krb5) NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
[2017/08/28 13:46:52.824163, 2] ../auth/gensec/spnego.c:720(gensec_spnego_server_negTokenTarg)
SPNEGO login failed: NT_STATUS_LOGON_FAILURE
Ez a legbeszédesebb hibaüzenet, de nem tudom, hogy mit kezdjek vele.
Annyi információ még, hogy sssd telepítve van a szerveren, hogy linux alatt is lássam az AD-s felhasználókat. Most már RSAT-tal sem láttam az AD információit, korábban igen.
Továbbá tegnap még ezt láttam névfeloldáskor (nagyon furcsa mert nem tudom, hogy honnan vette a kliens a 1.1.10.in-addr.arpa zónára vonatkozó információkat):
> nslookup adsamba
1.1.10.in-addr.arpa
primary name server = szerver1.sulineve.sulinet.hu
responsible mail addr = hostmaster.sulineve.sulinet.hu
serial = 2017073116
refresh = 28800 (8 hours)
retry = 7200 (2 hours)
expire = 2419200 (28 days)
default TTL = 86400 (1 day)
(root) ??? unknown type 41 ???
Server: UnKnown
Address: 10.1.1.1
Name: adsamba.suli.lan
Address: 10.1.1.1
ma pedig ezt látom névfeloldáskor:
> nslookup adsamba
Server: UnKnown
Address: 10.1.1.1
Name: adsamba.suli.lan
Address: 10.1.1.1
Egy kicsit hosszúra nyúlt, de minél több részletet meg akartam adni. A nagy kérdés, hogy mi történ egyik napról a másikra, amiért most nem működik a hitelesítés, "névfeloldás"??? És hogyan tudom javítani?
