Ошибка корректного присоединения к Домену [решено]

[ivanlex]

Доброго времени суток всем.

Пытаюсь присоединить машину к домену по статье из вики.
Все отлично прошло ДО пункта "Настройка ролей и привилегий" из данной статьи - "net ads testjoin" выдает "Join is OK" как и положено.

Но "roleadd 'Администраторы домена' localadmins" и "roleadd 'Пользователи домена' users" выдают ошибку "Error 156: No such group" - хотя такие группы точно существуют на домене. Кроме того, пробовал добавлять специально созданную группу "IT" - результат такой же.

Прошу помощи.
Дистрибутив "alt-p9-cinnamon-20201212-x86_64".
Домен "Windows Server 2012R2".

Заранее спасибо всем откликнувшимся.

[Skull]

Эти группы в выдаче
id <доменный пользователь>
есть?
getent group <имя группы в нижнем регистре>
что выдаёт?
И попробуйте в нижнем регистре.

[ivanlex]

Очень интересная ситуация получается:

Код: [Выделить]

kinit domainusernameвыдает

Код: [Выделить]

Password for domainusername@DOMAINNAME.LOCAL:
Если следом набрать

Код: [Выделить]

klistто в выводе получим

Код: [Выделить]

Ticket cache: KEYRING:persistent:0:0
Default principal: domainusername@DOMAINNAME.LOCAL

Valid starting       Expires              Service principal
30.12.2020 10:07:19  30.12.2020 20:07:19  krbtgt/DOMAINNAME.LOCAL@DOMAINNAME.LOCAL
        renew until 06.01.2021 10:07:05
При этом команда

Код: [Выделить]

id domainusername приводит к результату

Код: [Выделить]

id: «domainusername»: такого пользователя нет
Такой же ответ и для id domainusername@DOMAINNAME.LOCAL, id domainusername@domainname.local
То есть от регистра не зависит.

getent group 'it'
getent group it
не приводят ни к какому выводу, а так же как и getent group 'it123' (заведомо несуществующая группа).

[ivanlex]

Код: [Выделить]

testparm приводит к следующему выводу:

Код: [Выделить]

Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
ERROR: Do not use the 'sss' backend as the default idmap backend!

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

# Global parameters
[global]
        kerberos method = system keytab
        realm = DOMAINNAME.LOCAL
        security = ADS
        template homedir = /home/DOMAINNAME.LOCAL/%U
        template shell = /bin/bash
        winbind use default domain = Yes
        workgroup = DOMAINNAME
        idmap config * : range = 200000-2000200000
        idmap config * : backend = sss


[homes]
        browseable = No
        comment = Home Directories
        read only = No


[printers]
        browseable = No
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
При этом команда

Код: [Выделить]

apt-get install task-auth-ad-sssdприводит к следующему выводу:

Код: [Выделить]

Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия task-auth-ad-sssd уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 0 не будет обновлено.Согласно приведенной wiki task-auth-ad-sssd ставился ранее

[Skull]

Обновите систему целиком. Суффикс .local используется Zeroconf и нужна последняя версия alterator-auth.

[ivanlex]

Нашел причину ошибки, и способ ее устранения.

Домен корректно определяется, и логинится под доменными пользователями получается ТОЛЬКО ПРИ НАСТРОЙКИ СЕТИ ВРУЧНУЮ. То есть, если задать статический ip адрес - то все в порядке. Если задать получение ip-адреса по DHCP, доменные пользователи залогинится не могут.

Я не знаю как это связано.

Вчера взял новый ПК, поставил на него систему с нуля, прописал ip вручную, вогнал в домен по статье - и все заработало. Поставил DHCP - всё перестало работать. Вернул вручную - опять все заработало.
Сегодня взял еще один ПК, поставил на него систему с нуля, оставил DHCP - ошибка повторилась.

Как чинить?

alterator-auth обновлена до последней версии, доступной из репозитория.

[Skull]

Значит, сеть настроена криво и приезжает неверный сервер DNS.

[aek]

Как чинить?

Не разобрались?

[ivanlex]

Разобрался.

DHCP сервер должен выдавать клиентскому ПК параметр:
 search domainname.suffix

Тогда все нормально вводит... вводил до 23 июня 2021...