Eu tenho um servidor membro Samba 4.6.2 samba ActiveDirectory. A cada mês ou mais, todos os clientes perdem a capacidade de se conectar a todos os compartilhamentos. Posso contornar o problema deixando o domínio, excluindo a conta da máquina e reingressando no domínio, mas obviamente é errado ter que fazer isso a cada poucas semanas. Eu pensei que era um problema de expiração de senha da conta da máquina, mas executar a atualização do adcli não ajuda. Tentei alterar a Diretiva de Grupo para expiração de senha da máquina, mas isso também não ajudou.
- Centos 7.4.1708
- Samba 4.6.2
- sssd-krb5-1.15.2
- SSSD 1.15.2-50
- reino-0.16.1-9
A mensagem de erro no lado do cliente é
"\\cheetoes is not accessible. You might not have permissions to use this network resource. Contact the administrator of this server to find out if you have access permissions.
Login Failure: The target account name is incorrect"
No lado do servidor, na inicialização, o log.smbd contém:
[2018/05/09 12:03:41.622878, 0] ../source3/libads/kerberos_util.c:74(ads_kinit_password)
kerberos_kinit_password [email protected] failed: Preauthentication failed
[2018/05/09 12:03:41.622923, 1] ../source3/libads/sasl.c:821(ads_sasl_spnego_bind)
ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/true-companion.hymesruzicka.org with user[CHEETOES$] realm=[HYMESRUZICKA.ORG]: Preauthentication failed
E o log por cliente mostra:
[2018/05/09 12:06:58.259646, 1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
gss_accept_sec_context failed with [Unspecified GSS failure. Minor code may provide more information: Request ticket server cifs/[email protected] not found in keytab (ticket kvno 3)]
[2018/05/09 12:06:59.099902, 1] ../source3/librpc/crypto/gse.c:646(gse_get_server_auth_token)
gss_accept_sec_context failed with [Unspecified GSS failure. Minor code may provide more information: Request ticket server cifs/[email protected] not found in keytab (ticket kvno 3)]
Imediatamente após o reingresso, não recebo as falhas do cliente, nem o erro "Falha na pré-autenticação" no log.smbd. Estou particularmente intrigado por que a reintegração funciona, mas apenas por um tempo.
As compilações do CentOS 7 do Samba são muito quebradas em um contexto do Active Directory. A compilação CentOS do Samba 4.8.3 resulta no
adclidespejo do núcleo quando o subcomando 'update' é tentado.adclitambém falha ao entrar ou sair do domínio corretamente, e destrói o /etc/samba/smb.conf, assim como as configuraçõessssdepam.E não é só
adcli.realmd,winbindesmbdele próprio não funcionam corretamente com servidores Windows Active Directory, deixando alguns clientes (como dispositivos iOS) incapazes de se conectar. A única solução que encontrei é construir uma pilha de samba "estoque" e adcli + reamld das fontes de lançamento mais recentes e usá-la na pilha de samba do CentOS. Você também deve desabilitar as atualizações para todos os componentes do samba em /etc/yum.conf, caso contrário sua instalação local do samba será quebrada pela do CentOS. Seu arquivo yum.conf precisa de pelo menos:Observe que não é prático desinstalar o samba do CentOS, porque muitos outros pacotes dependem dele.