Почему я не могу подключить сервер Ubuntu к своему домену Active Directory с помощью Samba и Winbind?

Содержание

Вопрос или проблема
Ответ или решение
Причины ошибки
Шаги для устранения проблемы

Вопрос или проблема

Я тут полный новичок. Пытаюсь следовать инструкциям из официальной документации, чтобы подключить этот сервер Ubuntu к домену, который я настроил в своей домашней сети.

https://documentation.ubuntu.com/server/how-to/samba/member-server-in-an-ad-domain/

realm discover кажется работает нормально…

administrator@ubuntu-vmware:~$ sudo realm discover Trevor.local
Trevor.local
  type: kerberos
  realm-name: TREVOR.LOCAL
  domain-name: Trevor.local
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
trevor.local
  type: kerberos
  realm-name: TREVOR.LOCAL
  domain-name: trevor.local
  configured: no

…но команда realm join…

administrator@ubuntu-vmware:~$ sudo realm join -v --membership-software=samba --client-software=winbind Trevor.local
 * Resolving: _ldap._tcp.trevor.local
 * Performing LDAP DSE lookup on: 10.69.0.1
 * Performing LDAP DSE lookup on: 192.168.111.1
 * Performing LDAP DSE lookup on: 192.168.226.1
 ! Can't contact LDAP server
 ! Can't contact LDAP server
 ! Can't contact LDAP server
 * Performing LDAP DSE lookup on: 192.168.1.201
 * Successfully discovered: Trevor.local
Password for Administrator:
 * Unconditionally checking packages
 * Resolving required packages
 * LANG=C LOGNAME=root /usr/bin/net --configfile /var/cache/realmd/realmd-smb-conf.P8TK02 -U Administrator --use-kerberos=required ads join Trevor.local
Password for [TREVOR\Administrator]:[redacted]
gse_get_client_auth_token: gss_init_sec_context failed with [ Miscellaneous failure (see text): Message stream modified](2529638953)

Failed to join domain: failed to lookup DC info for domain 'Trevor.local' over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.
 ! Joining the domain Trevor.local failed
realm: Couldn't join realm: Joining the domain Trevor.local failed

…имеет эту ошибку. Единственное сообщение, которое я смог найти в интернете с этой же ошибкой, находится здесь:

https://lists.samba.org/archive/samba/2019-April/222461.html

Я думаю, что сойду с ума, пытаясь прочесть эту страницу, все равно это, похоже, не то же самое окружение, которое я использую здесь.

Ответ или решение

Кажется, вы столкнулись с ошибкой при попытке присоединить ваше Ubuntu Server к домену Active Directory с использованием Samba и Winbind. Давайте разберем возможные причины этой проблемы и предложим шаги для ее решения.

Причины ошибки

Недоступность LDAP-сервера:
Ваша ошибка начинается с сообщения "Can’t contact LDAP server", что указывает на проблемы с сетевым доступом или конфигурацией LDAP. Убедитесь, что серверы, на которые выполняется запрос, доступны из вашей сети и что к ним открыты соответствующие порты (обычно 389 или 636 для LDAPS).
Недостающие или неправильные учетные данные:
Ошибка "The attempted logon is invalid" указывает на проблемы с аутентификацией. Убедитесь, что вы вводите правильное имя пользователя и пароль администратора домена. Пользователь должен обладать правами на добавление компьютеров в домен.
Проблемы с Kerberos:
Сообщение "gss_init_sec_context failed with [ Miscellaneous failure (see text): Message stream modified]" также может свидетельствовать о проблемах с Kerberos. Проверьте, правильно ли настроена ваша конфигурация Kerberos. Убедитесь, что у вас корректные даты и время на обеих системах, так как Kerberos чувствителен к синхронизации времени.
Конфигурация DNS:
Поскольку AD сильно зависит от DNS для разрешения имен, проверьте, что настройки DNS на Ubuntu Server корректно настроены и указывают на правильный сервер DNS сети.

Шаги для устранения проблемы

Проверка сетевого доступа и DNS:
```
nslookup trevor.local
ping -c 4 10.69.0.1
```
Убедитесь, что сервер AD пингуется и доменные имена корректно разрешаются с помощью команды nslookup.
Проверка времени и синхронизации:
Убедитесь, что время на Ubuntu Server синхронизируется с доменом. Вы можете использовать ntpdate или chrony для синхронизации.
Проверка конфигурации Kerberos:
Откройте файл /etc/krb5.conf и убедитесь, что он содержит правильные настройки для домена TREVOR.LOCAL.
Проверка учетных данных:
Убедитесь, что пользователь Administrator имеет права на присоединение новых компьютеров к домену. Попробуйте выполнить ввод учетных данных, используя другой админский аккаунт, для проверки.
Проверка конфигурации Samba:
Убедитесь, что файл конфигурации Samba (/etc/samba/smb.conf) настроен правильно, со всеми необходимыми параметрами, такими как workgroup, security = ADS, и realm.

Если вы последуете этим шагам и проверите указанные настройки, это повысит шанс успешного присоединения вашей Ubuntu Server к домену Active Directory. Всегда сохраняйте внимательность и следите за выходными логами для точной диагностики проблем.