Я пытаюсь присоединиться к Active Directory в Xubuntu 16.04 в корпоративной бизнес-среде, поэтому я изменю имя своего REALM на MY.EXAMPLE. CORP. Моя проблема: когда я запускаю
net ads join -U Administrator
, появляется:
Failed to join domain: failed to join domain 'MY.EXAMPLE.CORP' over rpc: Insufficient quota exists to complete the operation.
Я пробовал команды kinit и klist, и результат:
Tickect cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MY.EXAMPLE.CORP
Valid starting Expires Service principal
24/11/16 10:18:49 24/11/16 20:18:49 krbgt/MY.EXAMPLE.CORP@MY.EXAMPLE.CORP
renew until 25/11/16 10:18:25
Это означает, что kerberos работает хорошо, похоже, это проблема samba, но я что не так с моим файлом smb.conf или если я что-то упускаю. Я перепробовал все, что читал, но все еще не работает
Это изменения, которые я сделал в каждом файле. krb5.conf, smb.conf, nsswitch.conf
krb5.conf
[libdefaults]
default_realm = MY.DOMAIN.CORP
....
[realms]
DOMAIN = {
kdc = SERVER01.MY.DOMAIN.CORP
kdc = SERVER02.MY.DOMAIN.CORP
admin_server = SERVER01.MY.DOMAIN.CORP SERVER.MY.DOMAIN.CORP
default_domain = MY.DOMAIN.CORP
}
....
[domain_realm]
SERVER01.MY.DOMAIN.CORP = MY.DOMAIN.CORP
SERVER02.MY.DOMAIN.CORP = MY.DOMAIN.CORP
.MY.DOMAIN.CORP = MY.DOMAIN.CORP
MY.DOMAIN.CORP = MY.DOMAIN.CORP
smb.conf
[global]
workgroup = MYWORKGROUP
realm = MY.DOMAIN.CORP
security = ADS
encrypt passwords = yes
password server = SERVER01.MY.DOMAIN.CORP SERVER02.MYDOMAIN.CORP
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = true
template homedir = /home/%D/%U
template shell = /bin/bash
winbind use default domain = yes
restrict anonymous = 2
winbind offline logon = yes
nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
И вот что у меня в файле .log:
[2016/11/29 08:13:22.207182, 0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.211148, 0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.215292, 0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
connect_to_domain_password_server: unable to open the domain client session to machine SERVER01.MY.DOMAIN.CORP. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2016/11/29 08:13:22.215350, 0] ../source3/auth/auth_domain.c:184(domain_client_validate)
domain_client_validate: Domain password server not available.
В моем случае это произошло из-за того, что подразделение не было указано, а учетная запись не имела соответствующих прав где-либо еще, как описано здесь: http://atherbeg.com / 2017/02/23 / error-separated-quota-exists-to-complete-the-operation /
У меня была очень похожая проблема с присоединением CentOS 7 к домену Windows 2012 R2.
В моем случае пользователь достиг максимум 10 компьютеров по умолчанию, к которым он мог присоединиться, см. https://support.microsoft.com/en-gb/help/243327/default-limit-to-number. -of-workstations-a-user-can-join-to-the-domain