Имеется:
Домен уровня Windows 2012 R2, наименование домена - Mydom.local (регистр символов сохранён)
Три контроллера домена с адресами 192.168.111.3, 192.168.111.8, 192.168.111.15 (DC02, DC01, VDC01 соответственно, последний - виртуальный)
Компьютер с установленной "по умолчанию" Alt Linux "Платформа 9" Workstation.
Сетевые настройки взяты по DHCP, в том числе адреса 192.168.111.3 и 192.168.111.8
Что работает:
Интернет через прокси-сервер TMG-2010 с адреса 192.168.111.1 раздаётся при условии отключения на проксе авторизации (не суть).
apt-get install task-auth-ad-sssd - тут всё нормально, в принципе, оно и по умолчанию стоит.
В файле /etc/nsswitch.conf удалена опция [NOTFOUND=return]
Все сетевые шары домена открываются, если вручную вводить юзер и пассворд.
Что не работает:
Не работает SSO, поскольку для этого надо ввести компьютер в домен.
Вывод klist:
Ticket cache: KEYRING:persistent:0:0
Default principal: adm.name@MYDOM.LOCAL (логин доменного админа содержит точку)
Valid starting Expires Service principal
30.04.2021 13:34:16 30.04.2021 23:34:16 krbtgt/MYDOM.LOCAL@MYDOM.LOCAL
renew until 07.05.2021 13:34:16
Однако при вводе компьютера в домен выдаёт:
Невозможно подключиться к домену Active Directiry: ads_print_error: AD LDAP ERROR: 50 (insufficient access): 00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0
Failed to join domain^ failed to set machine kerberos encryption types: Insufficient access
Подскажите направление поиска