Samba を使用して Active Directory ドメインに参加しようとすると問題が発生します。
エラーメッセージは
cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D E5 27 86 90 39 7C 4E 1E ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
私の AD サーバーは Windows Server 2012 です。
同じ Linux ホストが他の AD ドメインに正常に参加しているため、AD サーバーに何か間違った構成があることは間違いありません。
私のコマンドは「net ads join -U myaccount -k」です
ここで、「オブジェクトですがアクセス権が付与されていません」とは、どのようなオブジェクトで、どのようなアクセス権が必要なのかをどのように知ることができるのでしょうか?
私は以下の行動をとりました:
ldapsearch を使用して LDAP インターフェースが正常に動作していることを確認しました。正常に動作しています。
他のADドメインに参加、成功
「-k」を使用しない場合、エラー メッセージは次のようになります。
error_string : 'Failed to set machine spn:
Operations error
Do you have sufficient permissions to create machine accounts?'
サービス プリンシパル名の設定に失敗したようですが、AD サーバーで setspn -S を正常に実行できました。
したがって、Kerberos サービスの構成に何か問題があると推測しています。この問題のトラブルシューティング方法に関する提案があれば歓迎します。
前もって感謝します。