Автор Тема: Альт Сервер 10 отваливается от домена  (Прочитано 3686 раз)

Оффлайн kl0p

  • Начинающий
  • *
  • Сообщений: 44
Имею Альт Сервер 10 в качестве члена домена под управлением Windows Server 2008R2. Примерно через месяц после ввода в домен началось "отваливание" Альт Сервера от домена со следующим сообщением в логе:
ldap_child[49602]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.Проблему решает вывод и последующий ввод в домен. Через сутки ситуация повторяется, опять то же сообщение и опять вывод-ввод)
Проблему вижу в том, что номера KVNO в krb5.keytab на линуксе и на контроллере домена разные, на линуксе klist -tke сообщает, что с каждым выводом-вводом в домен KVNO увеличивается и сейчас достиг 9, а команда kvno -S host dc.domain.local сообщает, что на сервере KVNO=122. На линуксе активны sssd и smbd (расшарен каталог).
Вопросы обычные, русские: кто виноват и что делать?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Имею Альт Сервер 10 в качестве члена домена под управлением Windows Server 2008R2. Примерно через месяц после ввода в домен началось "отваливание" Альт Сервера от домена со следующим сообщением в логе:
ldap_child[49602]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.Проблему решает вывод и последующий ввод в домен. Через сутки ситуация повторяется, опять то же сообщение и опять вывод-ввод)
Проблему вижу в том, что номера KVNO в krb5.keytab на линуксе и на контроллере домена разные, на линуксе klist -tke сообщает, что с каждым выводом-вводом в домен KVNO увеличивается и сейчас достиг 9, а команда kvno -S host dc.domain.local сообщает, что на сервере KVNO=122. На линуксе активны sssd и smbd (расшарен каталог).
Вопросы обычные, русские: кто виноват и что делать?
bugzilla.altlinux.org
Андрей Черепанов (cas@)

Оффлайн kl0p

  • Начинающий
  • *
  • Сообщений: 44
Проблему так и не удаётся решить. Попробовал ввести в домен ещё один Сервер P10, через 30 дней с ним началась та же история. Багзилла молчит. Включил  в sssd.conf параметр debug_level = 9, вот что пишется в лог при ошибке:
(2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GS
SAPI-encrypted LDAP connection.
********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE:
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [main] (0x0400): ldap_child started.
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [main] (0x2000): context initialized
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): total buffer size: 44
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): realm_str size: 9
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): got realm_str: DOM.LOCAL
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): princ_str size: 11
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): got princ_str: SRV-TEST$
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): keytab_name size: 0
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x1000): lifetime: 86400
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [unpack_buffer] (0x0200): Will run as [471][447].
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [privileged_krb5_setup] (0x2000): Kerberos context initialized
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [main] (0x2000): Kerberos context initialized
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [become_user] (0x0200): Trying to become user [471][447].
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [main] (0x2000): Running as [471][447].
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [main] (0x2000): getting TGT sync
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x2000): got realm_name: [DOM.LOCAL]
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x0100): Principal name is: [SRV-TEST$@DOM.LOCAL]
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x0100): Using keytab [MEMORY:/etc/krb5.keytab]
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x0040): krb5_get_init_creds_keytab() failed: -1765328360
   *  (2022-08-03 20:47:44): [ldap_child[42518]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to cre
ate GSSAPI-encrypted LDAP connection.
********************** BACKTRACE DUMP ENDS HERE *********************************
Головы не хватает интерпретировать вот это вот krb5_get_init_creds_keytab() failed: -1765328360. Буду очень признателен за любую идею и/или подсказку.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Вроде обновление билета пришло в Sisyphus.
Андрей Черепанов (cas@)

Оффлайн sandteufel

  • Начинающий
  • *
  • Сообщений: 1
    • Email
Присоединюсь. точно такая же картина на Альт рабочей станции к10 и Simply 10.1

 sssd.service - System Security Services Daemon
     Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
     Active: active (running) since Tue 2022-08-16 16:41:15 MSK; 1min 33s ago
   Main PID: 4614 (sssd)
      Tasks: 5 (limit: 9414)
     Memory: 54.8M
        CPU: 501ms
     CGroup: /system.slice/sssd.service
             ├─ 4614 /usr/sbin/sssd -i --logger=files
             ├─ 4615 /usr/libexec/sssd/sssd_be --domain ХХХХХ.RU --uid 478 --gid 449 --logger=files
             ├─ 4616 /usr/libexec/sssd/sssd_nss --uid 478 --gid 449 --logger=files
             ├─ 4617 /usr/libexec/sssd/sssd_pam --uid 478 --gid 449 --logger=files
             └─ 4618 /usr/libexec/sssd/sssd_pac --uid 478 --gid 449 --logger=files

авг 16 16:41:15 test ldap_child[4620]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
авг 16 16:41:15 test sssd_nss[4616]: Starting up
авг 16 16:41:15 test sssd_pac[4618]: Starting up
авг 16 16:41:15 test sssd_pam[4617]: Starting up
авг 16 16:41:15 test systemd[1]: Started System Security Services Daemon.
авг 16 16:42:33 test ldap_child[4650]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
авг 16 16:42:35 test ldap_child[4651]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
авг 16 16:42:39 test ldap_child[4653]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
авг 16 16:42:39 test ldap_child[4654]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
авг 16 16:42:39 test ldap_child[4655]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.

2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE:
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [main] (0x0400): ldap_child started.
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [main] (0x2000): context initialized
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): total buffer size: 49
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): realm_str size: 12
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): got realm_str: ХХХХХХ.RU
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): princ_str size: 13
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): got princ_str: TEST$
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): keytab_name size: 0
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x1000): lifetime: 86400
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [unpack_buffer] (0x0200): Will run as [478][449].
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [privileged_krb5_setup] (0x2000): Kerberos context initialized
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [main] (0x2000): Kerberos context initialized
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [become_user] (0x0200): Trying to become user [478][449].
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [main] (0x2000): Running as [478][449].
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [main] (0x2000): getting TGT sync
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x2000): got realm_name: [ХХХХХ.RU]
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x0100): Principal name is: [TEST$@ХХХХХХ.RU]
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x0100): Using keytab [MEMORY:/etc/krb5.keytab]
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x0040): krb5_get_init_creds_keytab() failed: -1765328360
   *  (2022-08-16 16:48:01): [ldap_child[4704]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
********************** BACKTRACE DUMP ENDS HERE *********************************

Оффлайн VladimirEliseev

  • Начинающий
  • *
  • Сообщений: 1
    • Email
(2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0040): krb5_get_init_creds_keytab() failed: -1765328378
********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE:
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x0400): ldap_child started.
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x2000): context initialized
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): total buffer size: 48
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): realm_str size: 6
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): got realm_str: ALT.FK
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): princ_str size: 18
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): got princ_str: host/prn-01.alt.fk
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): keytab_name size: 0
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x1000): lifetime: 86400
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unpack_buffer] (0x0200): Will run as [467][439].
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [privileged_krb5_setup] (0x2000): Kerberos context initialized
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x2000): Kerberos context initialized
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [become_user] (0x0200): Trying to become user [467][439].
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x2000): Running as [467][439].
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x2000): getting TGT sync
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x2000): got realm_name: [ALT.FK]
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0100): Principal name is: [host/prn-01.alt.fk@ALT.FK]
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0100): Using keytab [MEMORY:/etc/krb5.keytab]
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0040): krb5_get_init_creds_keytab() failed: -1765328378
********************** BACKTRACE DUMP ENDS HERE *********************************

схожая ошибка
[ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0040): krb5_get_init_creds_keytab() failed: -1765328378
ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client 'host/prn-01.alt.fk@ALT.FK' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.


Подробнее на debug_level=4

(2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client 'host/prn-01.alt.fk@ALT.FK' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.
(2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x0020): ldap_child_get_tgt_sync failed.
********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE:
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [ldap_child_get_tgt_sync] (0x0010): Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client 'host/prn-01.alt.fk@ALT.FK' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [unique_filename_destructor] (0x2000): Unlinking [/var/lib/sss/db/ccache_ALT.FK_krYU0K]
   *  (2022-08-26 18:29:40): [ldap_child[3644]] [main] (0x0020): ldap_child_get_tgt_sync failed.
********************** BACKTRACE DUMP ENDS HERE *********************************

Оффлайн Kosh

  • Начинающий
  • *
  • Сообщений: 16
Нет решения? тоже столкнулись на "альт сервре 10"

Оффлайн genand1947

  • Давно тут
  • **
  • Сообщений: 225
 Тоже дня три назад станции АльтОбразование10 начали отваливаться от "альт сервер 10". Ещё в сентябре всё было хорошо.

Оффлайн kessys

  • Завсегдатай
  • *
  • Сообщений: 624
Ребят подскажите а на альт сервер приходят обновления? ставите же?
О подпись)
Жизнь с kde не так плоха, Но без ssd, это жестоко грустно.

Оффлайн genand1947

  • Давно тут
  • **
  • Сообщений: 225
Ребят подскажите а на альт сервер приходят обновления? ставите же?
С марта 2022г альт сервер 10 работал безукоризненно, поэтому обновления ставить не рисковал, даже не вспоминал про обновления до октября 2022г,  когда рабочие станции АльтОбразование10 начали отваливаться от "альт сервер 10". Захожу в ЦУС - Привязана станция к workgroup, отвязываю, привязываю и нормально день или два, потом снова отваливается.

Оффлайн Kosh

  • Начинающий
  • *
  • Сообщений: 16
мне ответили в ТП альта, цитата-

---------
Обновите ОС до актуального состояния:
su-
apt-get update
apt-get dist-upgrade
update-kernel
reboot
Далее, добавте в /etc/krb5.conf в секцию [libdefaults] строки:
default_tkt_enctypes = des-cbc-md5 des-cbc-crc arcfour-hmac-md5 aes256-cts-hmac-sha1-96
default_tgs_enctypes = des-cbc-md5 des-cbc-crc arcfour-hmac-md5 aes256-cts-hmac-sha1-96
reboot
---------

будем пробовать и смотреть!

Оффлайн genand1947

  • Давно тут
  • **
  • Сообщений: 225
Это на сервере или на рабочих станциях нужно делать?

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Это на сервере или на рабочих станциях нужно делать?
на клиенте
Сноси Винду, переходи на Линукс ! :)


Онлайн NickM

  • Завсегдатай
  • *
  • Сообщений: 897
Временные решения:
1. Выполнить повторный ввод компьютера в домен. Добавить в cron выполнение команды net ads changetrustpw (в интервале до 30 дней)
Вот тут пишут, что в таком случае может поломаться ssh
+
в статье имеются некоторые изыскания.