Error al unirse al dominio AD Error al iniciar sesión en SPNEGO: {Acceso denegado} Un proceso ha solicitado acceso a un objeto pero no se le han concedido esos derechos de acceso

tag-icon tag-icon linux windows active-directory samba kerberos
Error al unirse al dominio AD Error al iniciar sesión en SPNEGO: {Acceso denegado} Un proceso ha solicitado acceso a un objeto pero no se le han concedido esos derechos de acceso

Tengo un problema al intentar unirme a un dominio de Active Directory con Samba.

El mensaje de error es

cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00   00 00 00 00 00 00 00 00   ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D   E5 27 86 90 39 7C 4E 1E   ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.

Mi servidor AD es Windows Server 2012.

Estoy bastante seguro de que hay algo mal configurado en el servidor AD, porque el mismo host Linux se une exitosamente a otro dominio AD.

Mi comando es "net ads join -U myaccount -k"

Aquí, "a un objeto pero no se le han otorgado derechos de acceso", ¿cómo puedo saber qué objeto y qué permiso de acceso requiere?

Seguí acciones:

  • usando ldapsearch para asegurarse de que la interfaz LDAP funcione bien, sí, está funcionando bien

  • unirse a otro dominio AD, éxito

  • Si no uso "-k", el mensaje de error será:

    error_string             : 'Failed to set machine spn: 
    Operations error
    Do you have sufficient permissions to create machine accounts?'

Parece que no se pudo establecer el nombre del principio del servicio; sin embargo, puedo configurarspn -S en el servidor AD correctamente.

Entonces, supongo que hay algún problema con la configuración del servicio Kerberos; cualquier sugerencia sobre cómo solucionar este problema es bienvenida.

Gracias de antemano.

información relacionada