PBIS + samba = Bad encryption type

Автор ion-lane, 12 марта 2015, 09:49:03

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

ion-lane

12 марта 2015, 09:49:03
Пытаюсь настроить файловый сервер на самбе с AD автризацией.
Поставил PowerBroker Identity Services, настроил все по этим инструкциям:
http://habrahabr.ru/post/174407/
http://habrahabr.ru/post/174497/
http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbise/Manuals/PBIS_Samba_Integration_Guide_V8.0.pdf

Linux к домену подсоединил, доменная авторизация на ssh и sudo работает.
Код Выделить
#wbinfo -a domain\\domainuser%password
plaintext password authentication succeeded
challenge/response password authentication succeeded

Код Выделить
# net ads testjoin
Join is OK

Код Выделить
# /opt/pbis/bin/samba-interop-install --check-version
Found smbd version 3.6.6
Samba version supported 

Есть проблема с авторизацией на самбе, при попытке на виндовом клиенте зайти на шару, пишет что не верный логин или пароль.
В логах самбы пишет:
лог
# nano /var/log/samba/smbd.log
...
[2015/03/12 13:59:56.333202, 10, pid=3009] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Bad encryption type
[2015/03/12 13:59:56.333431, 10, pid=3009] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [1] failed to decrypt with error Bad encryption type
[2015/03/12 13:59:56.333642, 10, pid=3009] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [3] failed to decrypt with error Bad encryption type
[2015/03/12 13:59:56.333794,  3, pid=3009] libads/kerberos_verify.c:632(ads_verify_ticket)
  libads/kerberos_verify.c:632: krb5_rd_req with auth failed (Bad encryption type)
[2015/03/12 13:59:56.333915, 10, pid=3009] libads/kerberos_verify.c:642(ads_verify_ticket)
  libads/kerberos_verify.c:642: returning error NT_STATUS_LOGON_FAILURE
[2015/03/12 13:59:56.334055,  1, pid=3009] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2015/03/12 13:59:56.334185,  3, pid=3009] smbd/error.c:81(error_packet_set)
  error packet at smbd/sesssetup.c(344) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
... 
[свернуть]

Настройка samba
# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[shared-folder]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        workgroup = DOMAIN
        realm = DOMAIN.AD
        security = ADS
        log file = /var/log/samba/smbd.log
        debug pid = Yes
        machine password timeout = 0
        idmap config * : backend = tdb

[shared-folder]
        comment = Test shared folder
        path = /share2
        valid users = @DOMAIN\\domain^admins, DOMAIN\\domainuser
        write list = @DOMAIN\\domain^admins, DOMAIN\\domainuser
        read only = No
        guest ok = Yes 
[свернуть]

Предполагаю что проблема в 'enc type [23] failed to decrypt with error Bad encryption type', но не могу найти решение.

ion-lane

#1
13 марта 2015, 11:52:31
Немного разобрался.
Проблема оказалась в адресе, если заходить по доменному имени, то в логах и появляются ошибки 'enc type [23] failed to decrypt with error Bad encryption type'.
Если зайти по ip адресу, в логах сразу вижу что пользователя самба увидела, но в доступе так же отказывает.
Несмотря на то, что в настройках PBIS указан разделитель "\\", в самбе нужно указывать "\".
То есть @DOMAIN\domain^admins вместо @DOMAIN\\domain^admins

Теперь нужно разобраться почему не заходит на шару по доменному имени.

endru

#2
13 марта 2015, 12:18:06
Открыть содержимое (спойлер)
не совсем понимаю что именно делает это PBIS...
и почему не использовали стандартное решение?
[свернуть]
в /etc/resolv.conf есть записи DNS серверов AD?

ion-lane

#3
16 марта 2015, 01:45:22 Последнее редактирование: 16 марта 2015, 01:56:49 от ion-lane
Цитата: endru от 13 марта 2015, 12:18:06
Открыть содержимое (спойлер)
не совсем понимаю что именно делает это PBIS...
и почему не использовали стандартное решение?
[свернуть]
в /etc/resolv.conf есть записи DNS серверов AD?
Запись есть, резолвит в обе стороны.
Не знаю имеет ли это значение, но когда вводил сервер в домен, то на DNS сервере запись не появилась, прописал вручную.
Сообщение объединено: 16 марта 2015, 01:56:49

Цитата: endru от 13 марта 2015, 12:18:06
не совсем понимаю что именно делает это PBIS...
и почему не использовали стандартное решение?
PowerBroker Identity Services Open, бывший Likewise. По сути те же samba, winbind, Kerberos, только все в одном пакете, и с настройками проще.
Печать
Вверх Страницы1
Действия пользователя