Credencial invalida al unir Debian a Dominio de windows [Solucionado]
DesconectadoHola, siguiendo el articulo http://www.esdebian.org/articulos/24000/unir-debian-dominio-active-direc... (y los relacionado) intente unir mi Debian al dominio CPEPE.COM.AR, casi todo bien, pero no me anda del todo, al llegar al "net ads join" me falla:
Al hacer "net ads join -S traful.CPEPE.COM.AR -U administrador" me dice:
[2010/01/27 13:22:53, 0] libads/sasl.c:ads_sasl_spnego_bind(819)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect to AD: Invalid credentials
Un #klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrador@CPEPE.COM.AR
Valid starting Expires Service principal
01/27/10 12:29:07 01/27/10 22:29:11 krbtgt/CPEPE.COM.AR@CPEPE.COM.AR
renew until 01/28/10 12:29:07
Kerberos 4 ticket cache: /tmp/tkt0
Un #net ads info
LDAP server: 192.168.0.6
LDAP server name: traful.cpepe.com.ar
Realm: CPEPE.COM.AR
Bind Path: dc=CPEPE,dc=COM,dc=AR
LDAP port: 389
Server time: mié, 27 ene 2010 14:43:43 ART
KDC server: 192.168.0.6
Server time offset: 0
La verdad es que he buscado en Internet y todas las configuraciones parecen ser similares.. no encuentro el error.. Y como estoy corto de fundamentos en el tema.. solo doy vueltas.. (Tengo samba 2:3.4.3-2 y los DC windows 2000)
No se si tengo algo mal con el tema de las mayúsculas o lo de poner CPEPE o CPEPE.COM o CPEPE.COM.AR.. estoy confundido..
Les agradeceré si me indican donde esta el error..
Gracias
Les dejo los archivos de configuración
Archivo smb.conf
[global]
security = ADS
netbios name = huemul
realm = CPEPE.COM.AR
password server = traful.CPEPE.COM.AR
workgroup = CPEPE
log level = 1
syslog = 1
idmap uid = 10000-29999
idmap gid = 10000-29999
winbind separator = \
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no
server string = linux como cliente de AD
encrypt passwords = yes
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
Archivo krb5.conf:
[libdefaults]
default_realm = CPEPE.COM.AR
clockskew = 300
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).
# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
CPEPE.COM.AR = {
kdc = 192.168.0.6
default_domain = cpepe.com.ar
admin_server = 192.168.0.6
}
cpepe.com.ar = {
kdc = 192.168.0.6
default_domain = cpepe.com.ar
admin_server = 192.168.0.6
}
cpepe = {
kdc = 192.168.0.6
default_domain = cpepe.com.ar
admin_server = 192.168.0.6
}
cpepe.com = {
kdc = 192.168.0.6
default_domain = cpepe.com.ar
admin_server = 192.168.0.6
}
[domain_realm]
[domain_realm]
.cpepe = cpepe
.cpepe.com.ar = ccomahe.com.ar
.cpepe.com = ccomahe.com
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
#[login]
# krb4_convert = true
# krb4_get_tickets = false
- Inicie sesión o regístrese para enviar comentarios
- 898 lecturas
traful.cpepe.com.ar debe ser el FQDN de tu Win Active Directory
Cuando haces el net join debeias utilizar ese nombre
Chequea el reloj del sistema, debe estar sincronizado con el AD cuando creas el ticket kerberos
eso me paso ami has lo que dice pato silva.
saludos ,
Hola, gracias por las respuestas.
Lo de la hora no era, pero si era que tenia pinchado los certificados del DC traful (el master)
Entonces el error, era correcto!!!. tuve que generar de nuevo el certificado de kerberos para traful
No he tenido tiempo de probar, de nuevo.., cuando pruebe les comento como resulto.
Saludos
Hola, el problema era del mismo dominio windows.. no se si se rompio con tanto q toque del samba, o por pura coincidencia ya estaba roto antes de empesar.
se soluciona desde windows con
netdom resetpwd /server:otro controlador de dominio /userd domain\administrator /passwordd:contraseña de administrador
Lo saque de: kb837513 , con esto pude hacer que el Debian aparezca en el AD.
Post editado para ocultar datos privados