kinit findet realm nicht

[Crazy_man]

immer wieder diese samba und Active Directory Geschichte, ich weiß es gibt bereits mehrere Threads zu dem Thema aber leider habe ich da keine Lösung gefunden. Und der die das Allwissende ( google ) konnte mir auch nicht weiterhelfen.

nun zu meinem Problem....
ich habe es geschafft Samba in Active Directory zu integrieren. Ich habe net join ads usw gemacht und die Meldung wurde ausgegeben das Samba den realm gejoined hat. Leider wenn ich nun versuche mit kinit username mir ein ticket zu holen erhalte ich folgende meldung:
kinit: Can't send request (send_to_kdc)
kinit: krb5_get_init_creds: unable to reach any KDC in realm domain.local

habe jetzt schon mehrere Sachen ausprobiert aber bis jetzt noch nichts gefunden hoffe jemand von euch hat eine Idee.

DC: w2k server
samba: debian

[fanhoras]

poste mal bitte deine /etc/krb5.conf . Problem könnte sein, das dein realm nicht in UPPERCASE steht und so nicht gefunden wird.

[Crazy_man]

Code:

[realms]
DOMAIN.LOCAL = {
         kdc = SERVER1.DOMAIN.LOCAL
#       admin_server = server1.domain.local
#         default_domain = domain.local
        kpasswd_server = server1.domain.local
        }

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server =  FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[domain_realm]
        .domain.local = DOMAIN.LOCAL

steht auch vermutlich mehr drin als man braucht aber wenn man experimentiert dann kommt halt sowas dabei raus

[fanhoras]

Code:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOMAIN.LOCAL

[realms]
 DOMAIN.LOCAL = {
  kdc = server1.domain.local:88
  admin_server = server1.domain.local:749
  default_domain = domain.local
 }

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL

ist zwar nen ausschnitt von meinem redhat system, sollte aber gleich sein

[Crazy_man]

habe die Ports hinzugefügt und das domain.local = DOMAIN.LOCAL

wenn ich eingebe kinit username erhalte ich diese Meldung

Code:

kinit: krb5_get_init_creds: Preauthentication failed

gebe ich ein username@domain.local erhalte ich das

Code:

kinit: Can't send request (send_to_kdc)
kinit: krb5_get_init_creds: unable to reach any KDC in realm nv.local

wenn ich jetzt wbinfo -u mache kann ich die verschiedenen Konten sehen. Wenn ich klist ausführe erhalte ich:

Code:

V4-ticket file: /tmp/tkt0
klist: No ticket file (tf_util)

deutet das v4 auf die Version des Kerberos hin? denn ich bräuchte ja Version 5. Was ich befürchte ist das wenn klist keine Tickets anzeigt, ich auch nicht mit AD Benutzerkonten auf Sambafreigaben zugreifen kann

[Crazy_man]

habe jetzt merkwürdigerweise einen anderen Fehler und zwar wenn ich jetzt
kinit username eingebe kommt das hier

Code:

krb5_get_init_creds: Additional pre-authentication required

durch googeln habe ich nocht nicht sehr viel gefunden bin aber noch dran.

Jemand schon mal was von der krb5.keytab gehört?

[Crazy_man]

Ich hatte gestern ein erfolgserlebniss ich habe ein Ticket bekommen, nachdem ich "krb4_get_tickets = false" in der krb5.conf reingeschrieben hatte konnte ich ein Ticket bekommen.
Nun gehts aber weiter und zwar als ich net join ads -U Username ausgeführt, sagte er

Code:

organizational unit ads does not exist

danach listet er auf ou=ads dc=NV dc=local, danach hat er ja alles. Dann sagt er noch

Code:

ADS join did not work, falling back to RPC...
Joined domain NV.

aber da sicherlich der Fehler ich kann mir keine Benutzer anzeigen lassen, der Witz an der ganzen Sache ist gestern hat noch alles funktoniert auch der er die ou gefunden hat

[fanhoras]

Code:

krb5_get_init_creds: Additional pre-authentication required

den fehler hatte ich auch schonmal. Das pre-authentication kann man im ADS unter dem User -> Properties -> Account dann ist da unten ein Haken, den man abklicken kann. (wenn ich mich recht erinnere).

ein Keytab kannste mittels des Tools ktpass.exe unter Windows für einen bestimmten User erstellen. Das ist aber nicht standartmäßig dabei. Gehört entweder zum Reskit oder den Support Tools.

im LinuxMagazin Sonderausgabe 03/05 steht dazu was drin.

[Crazy_man]

das Problem habe ich mittlerweile nicht mehr warum ?
Nun habe ich nur noch das net join ads Problem das er jedesmal

Code:

ADS join did not work, falling back to RPC...
Joined domain NV.

denke deswegen kann ich leider noch keine ADS Konten anzeigen lassen

[fanhoras]

Code:

net ads join -U Username

Username muss im ADS administrative Rechte haben, zwecks hinzufügen von Samba als Memberserver

[Crazy_man]

habe es gerade nochmal versucht er gibt mir folgendes aus

Code:

ads_join_realm: organizational unit ads does not exist (dn:ou=ads,dc=DOMAIN,dc=LOCAL)
ADS join did not work, falling back to RPC...
Joined domain DOMAIN.

habe es mit einem User konto versucht der Admin rechte hat ud mit dem Administratorkonto auch nochmal

[fanhoras]

Kerberos greift normalerweise auf den Namen des Domain Controller zu, das wäre DOMAIN.LOCAL nicht auf eine Organization Unit (OU) ou=ads,dc=DOMAIN,dc=LOCAL. Der Kerberos Dienst gilt immer für eine ganze Domäne, wenn ich das nu richtig verstanden habe.

Irgendwo hast du noch den Eintrag ou=ads,dc=DOMAIN,dc=LOCAL stehen. Das muss du ändern.

[Crazy_man]

hatte ich auch schon gedacht, aber ich wüßte nicht wo das stehen soll. es ist ein komplett neues Linux System und auser der smb.conf und der krb5.conf habe ich nichts angapasst. könnte es sein das ich als security = server eintragen muss, im moment steht dort ads. Meine aber das in mehreren HowTo´s auch ads drin stand

[Crazy_man]

muss den als realm server.domain.local angegeben werden oder nur domain.local

habe das in der krb5.conf und smb.conf geändert nun erhalte ich diese fehlermeldung

Code:

[2006/04/12 14:00:51, 0] libads/kerberos.c:ads_kinit_password(146)
  kerberos_kinit_password heschmidt@DOMAIN.LOCAL failed: Improper format of Kerberos configuration file
[2006/04/12 14:00:51, 0] utils/net_ads.c:ads_startup(191)
  ads_connect: Improper format of Kerberos configuration file
Joined domain DOMAIN.

muss das denn immer so kompliziert sein?

[Crazy_man]

habe heute was rausgefunden und zwar wenn ich
net join ads -U username eingebe findet er die OU nicht


bei net join -S PDC -U username findet er den realm und er zeigt mit wbinfo -u auch wieder die Konten des Ads an.


leider kann ich noch nicht mit clients die in der Domäne sind auf den Linuxserver zugreifen da fragt er immer wieder nach dem Password.

Jemand ne idee?