Я пытаюсь установить Сервер Ubuntu с Samba 4 как Контроллер доменов Active Directory, и я получаю ошибку, когда я пытаюсь соединиться от машины Windows.
Вот журнал Samba ошибки (я заменил название своего домена для конфиденциальности):
[2014/07/04 15:09:48.437798, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: AS-REQ Administrator@mydomain.com from ipv4:10.8.0.14:36394 for krbtgt/mydomain.com@mydomain.com
[2014/07/04 15:09:48.442161, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Client sent patypes: 128
[2014/07/04 15:09:48.442329, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for PK-INIT(ietf) pa-data -- Administrator@mydomain.com
[2014/07/04 15:09:48.442438, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for PK-INIT(win2k) pa-data -- Administrator@mydomain.com
[2014/07/04 15:09:48.442539, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Looking for ENC-TS pa-data -- Administrator@mydomain.com
[2014/07/04 15:09:48.442658, 3] ../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
Kerberos: Need to use PA-ENC-TIMESTAMP/PA-PK-AS-REQ
[2014/07/04 15:09:48.535053, 3] ../source4/smbd/service_stream.c:66(stream_terminate_connection)
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2014/07/04 15:09:48.535219, 3] ../source4/smbd/process_single.c:114(single_terminate)
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
Однако, если я пытаюсь войти в систему локально, нет никакой проблемы:
# smbclient //localhost/netlogon -U Administrator
Enter Administrator's password:
Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.1.6-Ubuntu]
smb: \> ls
. D 0 Mon May 26 12:54:45 2014
.. D 0 Mon May 26 12:56:28 2014
36484 blocks of size 8388608. 27650 blocks available
smb: \>
# kinit
Password for administrator@MYDOMAIN.COM:
Warning: Your password will expire in 5 days on jue 10 jul 2014 14:47:07 ART
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@MYDOMAIN.COM
Valid starting Expires Service principal
04/07/14 16:38:31 05/07/14 02:38:31 krbtgt/MYDOMAIN.COM@MYDOMAIN.COM
renew until 05/07/14 16:38:24
Какова может быть проблема? То, что делает ошибку, "Должно использовать PA-ENC-TIMESTAMP/PA-PK-AS-REQ", средний?
Вот некоторая дополнительная информация, которая могла быть важной.
Информация о сервере:
Содержание smb.conf
# Global parameters
[global]
workgroup = MYDOMAIN
realm = MYDOMAIN.COM
netbios name = COLLIE
server role = active directory domain controller
dns forwarder = 10.1.1.1
idmap_ldb:use rfc2307 = yes
log level = 3
[netlogon]
path = /var/lib/samba/sysvol/huntmob.com/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
# Sharing general
[files]
path = /var/lib/samba/usershares/files
read only = no
[todos]
path = /var/lib/samba/usershares/todos
read only = no
[dbox]
path = /var/lib/samba/usershares/dbox
read only = no
Информация о клиенте Windows
Во время этого этапа установки я работаю с Виртуальной машиной, запускающей Windows 7 Professional, который размещается полем Kubuntu, которое соединяется через VPN с офисом, где сервер Samba.
Я знаю, что это немного испорчено, но это только для этого этапа, сервер Samba будет только служить локальным машинам Windows. Однако я не думаю, что это - то, что вызывает проблему, так как поле Window, кажется, достигает сервера Samba очень хорошо.
Согласно документации MS-KILE
Когда клиенты выполняют первичную аутентификацию на основе пароля, они ДОЛЖНЫ предоставить тип PA-ENC-TIMESTAMP предварительной аутентификации, когда они строят первичный AS запрос.
Вы клиент Windows, очевидно, не делаете этого.
Я не очень хорошо знаю Windows-сторону, но, возможно, существуют опции "режима совместимости" для аутентификации, которые не должны быть включены, чтобы Samba 4 работала.