Подключиться к домену AD Windows 2016

[Korsar]

Господа, нужна ваша помощь. Уже много мануалов перепробывал, не получается ввойти в доме windows.целый день потратил на samba.
Итог kinit --- выдает билет. testparm -- тоже без ошибок. Но вылетает в ошибку когда подключаешься к домену. Может подскажите норм мануал

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: terminal@LOCAL.COM

Valid starting       Expires              Service principal
08.04.2021 16:25:15  09.04.2021 02:25:15  krbtgt/LOCAL.COM@LOCAL.COM
        renew until 09.04.2021 16:25:12

testparm
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER

net ads join -U terminal -D LOCAL
Enter terminal's password:
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Message stream modified](2529638953)
kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/td-dc01 with user[terminal] realm[LOCAL.COM]: The attempted logon is invalid. This is either due to a bad username or authentication information.
Failed to join domain: failed to connect to AD: The attempted logon is invalid. This is either due to a bad username or authentication information.

файл krb5.conf

Код Выделить Развернуть

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = LOCAL.COM
default_keytab_name = /root/datastore1.keytab
dns_lookup_kdc = false
dns_lookup_realm = false
forwardable = true
ticket_lifetime = 24h

[realms]
LOCAL.COM = {
kdc = td-dc01.local.com
default_domain = LOCAL.COM
admin_server = td-dc01.local.com
}

[domain_realm]
.local.com = LOCAL.COM
local.com = LOCAL.COM
файл smb.conf

Код Выделить Развернуть

[global]
#       ОБЩИЕ ПАРАМЕТРЫ СЕТЕВОЙ ШАРЫ
        realm = LOCAL.COM
        workgroup = LOCAL

        security = ads
        encrypt passwords = yes

        netbios name = TD-DC01
        server string = %h server

        domain master = no
        local master = no
        preferred master = no
        os level = 0
        domain logons = no

        dns proxy = no

        socket options = TCP_NODELAY

        unix charset = UTF-8
        dos charset = 866

#       Конфигурация по-умолчанию для локальных пользователей и групп
        idmap config * : backend = tdb
        idmap config * : range = 3000-7999

#       Конфигурация для домена LOCAL и его пользователей и групп
        idmap config LOCAL : backend = rid
        idmap config LOCAL : range = 10000-999999

#       ПАРАМЕТРЫ WINBIND
        winbind enum users = yes
        winbind enum groups = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
#       ПОДКЛЮЧЕНИЕ МОДУЛЕЙ VFS (Virtual File System)
        vfs objects = acl_xattr

#       Поддержка Windows ACLs
        map acl inherit = yes
        store dos attributes = yes

#       ОТКЛЮЧЕНИЕ ПОДДЕРЖКИ СЕТЕВЫХ ПРИНТЕРОВ
        load printers = no
        show add printer wizard = no
        printcap name = /dev/null
        disable spoolss = yes

#       ПАРАМЕНТЫ ЛОГИРОВАНИЯ
        log level = 0 vfs:1


[gardarea51]

  На ошибку в имени ругается. Знак % в имени вообще допустим?

[Korsar]

На ошибку в имени ругается. Знак % в имени вообще допустим?

логин%пароль
без знака % тоже пробывал

[gardarea51]

Но все-таки ругается то на имя. Может быть пароль нужно задать через : ?

[Korsar]

интересно, перезапустил самбу, ошибка

[2021/04/09 09:14:01.040624,  0] ../lib/util/become_daemon.c:138(daemon_ready)
  daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve connections
[2021/04/09 09:17:03.948729,  0] ../lib/util/become_daemon.c:138(daemon_ready)
  daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve connections
[2021/04/09 09:18:31.514398,  0] ../lib/util/become_daemon.c:138(daemon_ready)
  daemon_ready: STATUS=daemon 'smbd' finished starting up and ready to serve connections
[2021/04/09 09:20:34.149678,  0] ../source3/auth/auth_util.c:1382(make_new_session_info_guest)
  create_local_token failed: NT_STATUS_NO_MEMORY
[2021/04/09 09:20:34.150502,  0] ../source3/smbd/server.c:2000(main)
  ERROR: failed to setup guest info.

[Korsar]

запуск winbind

Apr  9 09:23:22 debian winbindd[1374]: [2021/04/09 09:23:22.236999,  0] ../source3/winbindd/winbindd_cache.c:3160(initialize_winbindd_cache)
Apr  9 09:23:22 debian winbindd[1374]:   initialize_winbindd_cache: clearing cache and re-creating with version number 2
Apr  9 09:23:22 debian winbindd[1374]: [2021/04/09 09:23:22.239584,  0] ../source3/winbindd/winbindd_util.c:1255(init_domain_list)
Apr  9 09:23:22 debian winbindd[1374]:   Could not fetch our SID - did we join?
Apr  9 09:23:22 debian winbindd[1374]: [2021/04/09 09:23:22.239614,  0] ../source3/winbindd/winbindd.c:1454(winbindd_register_handlers)
Apr  9 09:23:22 debian winbindd[1374]:   unable to initialize domain list

[gardarea51]

Судя по гуглу самбу нужно запускать после запуска winbind.

[Korsar]

Откатил сервер, установил. Но ошибка осталась

net ads join -U terminal -D LOCAL
Enter terminal's password:
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Message stream modified](2529638953)
kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/td-dc01 with user[terminal] realm[LOCAL.COM]: The attempted logon is invalid. This is either due to a bad username or authentication information.
Failed to join domain: failed to connect to AD: The attempted logon is invalid. This is either due to a bad username or authentication information.

[endru]

Если вы посмотрите мануалы, то там настройка не ограничивается двумя этими файлами конфигами! А соответственно нужно проверять и перепроверять то, что было сделано до этого!
Ну и выбор домена LOCAL.COM - тот еще гемор для домена....

[Korsar]

LOCAL.COM - тестовый домен.
Подскажите плиз норм мануал

[gardarea51]

Навскидку вот: https://jtprog.ru/ubuntu-in-domen-windows/

[Korsar]

Спасибо, мануал помог.
В домен вошел.
Теперь новая ошибка с репликацией winbind
ошибка:
checking the trust secret for domain LOCAL via RPC calls failed
wbcCheckTrustCredentials(LOCAL): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret

[gardarea51]

Вот подобная ошибка, может быть поможет:
https://www.claudiokuenzler.com/blog/567/winbind-user-list-not-working-wbc-err-nt-status-connection-reset