Ввод Р9 в домен Windows 2003

[freddyb]

Это вообще возможно?

Установил https://mirror.yandex.ru/altlinux-starterkits/release/alt-p9-mate-20190912-x86_64.iso
apt-get update
update-kernel -t std-def
apt-get dist-upgrade
reboot
Пытаюсь подключить ПК с именем FEDIALINP9 к Active Directory домену DOMEN.com на Windows 2003 по статье: https://www.altlinux.org/ActiveDirectory/Login
apt-get install task-auth-ad-sssd
visudo, убрал коментарий строки в файле /etc/sudoers: User_Alias SUDO_USERS = %sudo и дописал
user ALL=(ALL:ALL)ALL
Центр управления системой - Пользователи - Аутентификация - заполнил поля Домен Active Directory - Применить -
в ответ окно: Критическая ошибка Невозможно подключиться к домену Active Directory.
В это время в логах:
[root@fedialinp9 etc]# journalctl -e

Код: [Выделить]

ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/chronyd.service:10: PIDFile= references a pa
th below legacy directory /var/run/, updating /var/run/chrony/chronyd.pid > /run/chrony/chronyd.pid; pl
ease update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/pcscd.socket:5: ListenStream= references a p
ath below legacy directory /var/run/, updating /var/run/pcscd/pcscd.comm > /run/pcscd/pcscd.comm; pleas
e update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/alteratord.socket:6: ListenStream= reference
s a path below legacy directory /var/run/, updating /var/run/alteratord/.socket > /run/alteratord/.sock
et; please update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: Reloading.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/chronyd.service:10: PIDFile= references a pa
th below legacy directory /var/run/, updating /var/run/chrony/chronyd.pid > /run/chrony/chronyd.pid; pl
ease update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/pcscd.socket:5: ListenStream= references a p
ath below legacy directory /var/run/, updating /var/run/pcscd/pcscd.comm > /run/pcscd/pcscd.comm; pleas
e update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/alteratord.socket:6: ListenStream= reference
s a path below legacy directory /var/run/, updating /var/run/alteratord/.socket > /run/alteratord/.sock
et; please update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/sssd.service:12: PIDFile= references a path
below legacy directory /var/run/, updating /var/run/sssd.pid > /run/sssd.pid; please update the unit fi
le accordingly.
ноя 12 09:17:01 fedialinp9 roleadd[5263]: PAM pam_end: NULL pam handle passed
ноя 12 09:17:01 fedialinp9 chronyd[4025]: chronyd exiting
ноя 12 09:17:01 fedialinp9 systemd[1]: Stopping NTP client/server...
ноя 12 09:17:01 fedialinp9 systemd[1]: chronyd.service: Succeeded.
ноя 12 09:17:01 fedialinp9 systemd[1]: Stopped NTP client/server.
ноя 12 09:17:01 fedialinp9 systemd[1]: Starting NTP client/server...
ноя 12 09:17:01 fedialinp9 chronyd[5276]: chronyd version 3.4 starting (+CMDMON +NTP +REFCLOCK +RTC +PR
IVDROP +SCFILTER +SIGND +ASYNCDNS +SECHASH +IPV6 -DEBUG)
ноя 12 09:17:01 fedialinp9 chronyd[5276]: Frequency 40.253 +/- 17.898 ppm read from /var/lib/chrony/dri
ft
ноя 12 09:17:01 fedialinp9 systemd[1]: Started NTP client/server.
ноя 12 09:17:01 fedialinp9 systemd[1]: Reloading.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/chronyd.service:10: PIDFile= references a pa
th below legacy directory /var/run/, updating /var/run/chrony/chronyd.pid > /run/chrony/chronyd.pid; pl
ease update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/pcscd.socket:5: ListenStream= references a p
ath below legacy directory /var/run/, updating /var/run/pcscd/pcscd.comm > /run/pcscd/pcscd.comm; pleas
e update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/alteratord.socket:6: ListenStream= reference
s a path below legacy directory /var/run/, updating /var/run/alteratord/.socket > /run/alteratord/.sock
et; please update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: Reloading.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/chronyd.service:10: PIDFile= references a pa
th below legacy directory /var/run/, updating /var/run/chrony/chronyd.pid > /run/chrony/chronyd.pid; pl
ease update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/pcscd.socket:5: ListenStream= references a p
ath below legacy directory /var/run/, updating /var/run/pcscd/pcscd.comm > /run/pcscd/pcscd.comm; pleas
e update the unit file accordingly.
ноя 12 09:17:01 fedialinp9 systemd[1]: /lib/systemd/system/alteratord.socket:6: ListenStream= reference
s a path below legacy directory /var/run/, updating /var/run/alteratord/.socket > /run/alteratord/.sock
et; please update the unit file accordingly.
ноя 12 09:17:05 fedialinp9 chronyd[5276]: Selected source 192.168.0.2

Тогда ввожу в домен в командной строке:
system-auth write ad DOMEN.com fedialinp9 DOMEN 'admin' 'пароль' отрабатывает вообще без сообщений

system-auth status говорит ad DOMEN.COM FEDIALINP9 DOMEN

getent passwd user отрабатывает вообще без сообщений

net ads info говорит все правильно, как и в altlinux.org/ActiveDirectory/Login

net ads testjoin требует пароль для FEDIALINP9$@DOMEN.COM

kinit admin
Password for admin@DOMEN.COM:
kinit: KDC has no support for encryption type while getting initial credentials

Вопрос: как правильно ввести Р9 в домен Windows 2003?

P.S. При этом подключение к файловому серверу Windows 2003, входящему в этот домен, и к контроллеру домена на Windows 2003, происходит правильно:
Места - Соедениться с сервером - тип Ресурс Windows - ввожу учетные данные и вижу общие папки.

[Skull]

Много текста и всё ненужное. Отлаживать нужно другое.

[freddyb]

Много текста и всё ненужное. Отлаживать нужно другое.

Нужно было не отлаживать, а дочитать до конца инструкцию https://www.altlinux.org/ActiveDirectory/Login
Там в Примечаниях есть:
6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:
rm -f /etc/krb5.conf
cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf

Скопировал из /var/lib/samba/smb_krb5/krb5.conf.DOMEN в /etc/krb5.conf значащие строки:
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
[realms]
DOMEN.COM = {
kdc = 192.168.0.8
kdc = 192.168.0.2
}

и после этого все заработало.

Замечу, что в /var/lib/samba/smb_krb5/krb5.conf.DOMEN не указано шифра DES3-CBC-SHA1, если этот шифр в /etc/krb5.conf не добавить, то ПК в домен войдёт, но доменному пользователю на ПК войти не удастся.

Видимо Альт Р9 использует по умолчанию слишком сложные алгоритмы шифрования, чем есть в старом домене под WS2003 (причём WS2003 без R2).

[freddyb]

Всё не так просто...

Комп в домене, но вход доменным пользователем работает через раз, как в LightDM так и в ssh: или оба разрешают вход или оба нет. После перезагрузки компа поведение может поменяться. Локальный пользователь входит всегда. Когда в LightDM не даёт войти, говорит "неверный пользователь или пароль" и предлагает снова ввести имя. При этом в логах:

Код: [Выделить]

дек 04 10:57:30 fedialin.domen.com lightdm[1433]: pam_succeed_if(lightdm:auth): requirement "user
ingroup nopasswdlogin" not met by user "fedia"
дек 04 10:57:34 fedialin.domen.com lightdm[1433]: pam_sss(lightdm:auth): authentication failure; l
ogname= uid=0 euid=0 tty=:0 ruser= rhost= user=fedia
дек 04 10:57:34 fedialin.domen.com lightdm[1285]: seat_get_string_property: assertion 'seat != NUL
L' failed
дек 04 10:57:34 fedialin.domen.com lightdm[1433]: pam_sss(lightdm:auth): received for user fedia:
9 (Authentication service cannot retrieve authentication info)
дек 04 10:57:34 fedialin.domen.com lightdm[1433]: gkr-pam: no password is available for user

Возможо это появилось после apt-get install system-config-printer, до этого пару дней был порядок.

Как это починить?

[Skull]

Сделать работу сети бесперебойной.

[sb]

Выделена тема станции под управлением Windows7 и Windows10 надо ввести в домен на базе AltLinuxServer9

[freddyb]

Всё так же периодически не получается войти доменным пользователем в ssh и LightDM, который говорит: Неверный пароль, попробуйте ещё раз. При этом в логах /var/log/sssd/sssd_ДОМЕН.log после одного неудавшегося входа:

Код: [Выделить]

(Mon Dec 16 14:20:40 2019) [sssd[be[DOMEN.com]]] [sbus_issue_request_done] (0x0040): sssd.dataprovid
er.getAccountInfo: Error [1432158212]: SSSD is offline
(Mon Dec 16 14:20:40 2019) [sssd[be[DOMEN.com]]] [sbus_issue_request_done] (0x0040): sssd.dataprovid
er.getAccountInfo: Error [1432158212]: SSSD is offline
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [sbus_issue_request_done] (0x0040): sssd.dataprovid
er.getAccountInfo: Error [1432158212]: SSSD is offline
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [get_port_status] (0x0080): SSSD is unable to compl
ete the full connection request, this internal status does not necessarily indicate network port issues.
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [resolv_discover_srv_done] (0x0040): SRV query fail
ed [11]: Could not contact DNS servers
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [resolve_srv_done] (0x0040): Unable to resolve SRV
[1432158237]: SRV lookup error
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [be_resolve_server_process] (0x0080): Couldn't reso
lve server (SRV lookup meta-server), resolver returned [1432158237]: SRV lookup error
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [get_port_status] (0x0080): SSSD is unable to compl
ete the full connection request, this internal status does not necessarily indicate network port issues.
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [fo_resolve_service_send] (0x0020): No available se
rvers for service 'AD'
(Mon Dec 16 14:20:44 2019) [sssd[be[DOMEN.com]]] [be_ptask_enable] (0x0080): Task [Check if online (
periodic)]: already enabled

т.е. "SSSD is offline" и не видит DNS-сервер. Но если зайти по ssh локальной учеткой и nslookup, то DNS-сервер виден и работает:

Код: [Выделить]

bux1pc
Server:         192.168.0.2
Address:        192.168.0.2#53

Name:   bux1pc.DOMEN.com
Address: 192.168.0.117


Сделать работу сети бесперебойной.

С сетью всё в порядке, никто на Виндах не жалуется. Проверяю в это время  файловые ресурсы обоих КД - работают. WinXP спокойно входит доменной учеткой.
Самое интересное, что если systemctl restart sssd, то всё начинает работать. И несколько дней работает.

В интернете вроде такая же ошибка встречается, но решение неясно. Да и на этом форуме есть https://forum.altlinux.org/index.php?topic=40658.0

[freddyb]

Приключения со вводом в домен продолжаются. Только теперь с другим экземпляром ПК на P9 (стартеркит на MATE), только что установленным и обновлённым. На попытку ввода в этот-же домен (через ЦУС или system-auth write ad DOMEN.com namepc DOMEN 'admin' 'пароль') получаю ответ:

Failed to join domain: failed to lookup DC info for domain 'DOMEN.COM' over rpc: {Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.

Чего только не перепробовал (в т.ч. и документацию https://docs.altlinux.org/ru-RU/alt-workstation/9.1/html/alt-workstation/ch43.html), ничего не помогает.

- ПК в Active Directory - Computers не появился.
- net ads testjoin требует пароль для namepc$@DOMEN.COM
- net ads info говорит всё правильно, за исключением даты учётки компа: Last machine account password change: Чт, 01 янв 1970 03:00:00 MSK
- ping DOMEN.COM проходит правильно.

Как ввести в домен?

[Skull]

Сверяйте время, смотрите DNS и получайте билет Kerberos для пользователя с правами ввода в домен.

[freddyb]

Сверяйте время, смотрите DNS и получайте билет Kerberos для пользователя с правами ввода в домен.

- date показывает время, совпадающее с временем контроллера домена
- nslookup подключается по умолчанию к DNS-серверу (он же контроллер домена) и правильно отвечает на запросы
- kinit admin проходит
- klist проходит:
Ticket cache: KEYRING:persistent:0:krb_ccache_JcoNGXN
Default principal: admin@DOMEN.COM

Valid starting       Expires              Service principal
31.08.2020 09:12:41  31.08.2020 19:12:41  krbtgt/DOMEN.COM@DOMEN.COM
        renew until 07.09.2020 09:12:35

- system-auth write ad DOMEN.com namepc DOMEN 'admin' 'пароль') получаю ответ:
Failed to join domain: failed to lookup DC info for domain 'DOMEN.COM' over rpc: {Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.

Похоже с доменом у меня швах?

[Skull]

Может, с доменом, может с GPO. Надо гуглить эту ошибку.

[freddyb]

Может, с доменом, может с GPO. Надо гуглить эту ошибку.

Я имел в виду, что с подключением к домену у меня швах. Сам домен работает исправно. А вот Линукс перестал к нему подключаться. Полгода назад alt-p9-mate-20190912-x86_64.iso подключался, а вот нынешний alt-p9-mate-20200612-x86_64.iso не подключается.
А погуглить я успел до создания здесь темы. Ответа нет.