Автор Тема: Freeipa + AD  (Прочитано 843 раз)

Оффлайн tehn

  • Начинающий
  • *
  • Сообщений: 7
    • Email
Freeipa + AD
« : 05.08.2022 08:48:42 »
Приветствую!
установил FreIPA по инструкции:
 https://www.altlinux.org/FreeIPA/Установка_сервера_FreeIPA
хочу настроить доверенные отношения с доменом AD по инструкции:
 https://www.altlinux.org/FreeIPA/Интеграция_с_AD

При проверке теста
smbclient -L ipa.example.test -k
выходит ошибка:
"session setup failed: NT_STATUS_IO_TIMEOUT"
проверяю тестом testparm
Load smb config files from /etc/samba/smb.conf
lpcfg_do_global_parameter: WARNING: The "domain logons" option is deprecated
Loaded services file OK.
Weak crypto is allowed

Server role: ROLE_DOMAIN_PDC

Press enter to see a dump of your service definitions

# Global parameters
[global]
        cache directory = /var/lib/samba
        create krb5 conf = No
        debug pid = Yes
        dedicated keytab file = /etc/samba/samba.keytab
        disable spoolss = Yes
        domain logons = Yes
        domain master = Yes
        kerberos method = dedicated keytab
        ldap group suffix = cn=groups,cn=accounts
        ldap machine suffix = cn=computers,cn=accounts
        ldap ssl = no
        ldap suffix = dc=XXX,dc=local
        ldap user suffix = cn=users,cn=accounts
        log file = /var/log/samba/log.%m
        max log size = 100000
        max smbd processes = 1000
        passdb backend = ipasam:ldapi://XXX-LOCAL.socket
        realm = XXX.LOCAL
        registry shares = Yes
        security = USER
        server role = classic primary domain controller
        workgroup = XXX
        idmap config xxx : range = 1670000000 - 1670200000
        idmap config xxx : backend = sss
        idmap config * : range = 0 - 0
        rpc_daemon:lsasd = fork
        rpc_daemon:epmd = fork
        rpc_server:tcpip = yes
        rpc_server:netlogon = external
        rpc_server:samr = external
        rpc_server:lsasd = external
        rpc_server:lsass = external
        rpc_server:lsarpc = external
        rpc_server:epmapper = external
        ldapsam:trusted = yes
        idmap config * : backend = tdb
В логах нашел вот это:

 auth3_generate_session_info_pac: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS
[2022/08/04 16:30:54.294967,  0, pid=8154] ../../source3/auth/auth_generic.c:125(auth3_generate_session_info_pac)
  auth3_generate_session_info_pac: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS
[2022/08/04 16:45:31.770994,  1, pid=18126] ../../lib/param/loadparm.c:1871(lpcfg_do_global_parameter)
  lpcfg_do_global_parameter: WARNING: The "domain logons" option is deprecated
получается, что "winbindd not running" - но если посмотреть статус службы:
systemctl status winbind
● winbind.service - Samba Winbind Daemon
     Loaded: loaded (/lib/systemd/system/winbind.service; disabled; vendor preset: disabled)
     Active: active (running) since Fri 2022-08-05 08:44:20 MSK; 2min 9s ago
       Docs: man:winbindd(8)
             man:samba(7)
             man:smb.conf(5)
    Process: 30475 ExecStart=/usr/sbin/winbindd --no-process-group $WINBINDOPTIONS (code=exited, status=0/SUCCESS)
   Main PID: 30477 (winbindd)
      Tasks: 4 (limit: 4693)
     Memory: 6.9M
        CPU: 95ms
     CGroup: /system.slice/winbind.service
             ├─ 30477 /usr/sbin/winbindd --no-process-group
             ├─ 30484 /usr/sbin/winbindd --no-process-group
             └─ 30490 /usr/sbin/winbindd --no-process-group

как то непонятная ситуация.... может быть кто-то сталкивался?
« Последнее редактирование: 16.08.2022 08:47:07 от ruslandh »

Оффлайн tehn

  • Начинающий
  • *
  • Сообщений: 7
    • Email
Re: Freeipa + AD
« Ответ #1 : 05.08.2022 11:04:53 »
пробую команду
ipa-getkeytab -s xxx.test.local -p cifs/xxx.test.local -k /etc/samba/samba.keytab
сразу после этого kinit и повторяю команду smbclient -L xxx.test.local -k
получаю ответ:
lpcfg_do_global_parameter: WARNING: The "domain logons" option is deprecated
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.14.13)
SMB1 disabled -- no workgroup available

проходит буквально 5 минут - после этого при выполнении команды smbclient -L xxx.test.local -k
lpcfg_do_global_parameter: WARNING: The "domain logons" option is deprecated
session setup failed: NT_STATUS_IO_TIMEOUT
опять не работает))

пробую ещё раз тоже самое - сразу после команды ipa-getkeytab приходит ответ, но через несколько минут - болт)) не работает тест)

Никто не настраивал доверие между FreeIPA и AD ?
« Последнее редактирование: 16.08.2022 08:48:28 от ruslandh »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Re: Freeipa + AD
« Ответ #2 : 05.08.2022 11:19:43 »
Никто не настраивал доверие между FreeIPA и AD ?
Похоже на то.
Андрей Черепанов (cas@)

Оффлайн Kosh

  • Начинающий
  • *
  • Сообщений: 16
Re: Freeipa + AD
« Ответ #3 : 30.08.2022 11:19:30 »
я очень много месяцев пытался НОРМАЛЬНО подружить freeipa+ad это бесконечные проблемы выражающиеся, то работает, то не работает.....я найти не смог решение