Samba를 사용하여 Active Directory 도메인에 가입하려고 할 때 문제가 발생합니다.
오류 메시지는 다음과 같습니다
cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D E5 27 86 90 39 7C 4E 1E ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
내 AD 서버는 Windows Server 2012입니다.
동일한 Linux 호스트가 다른 AD 도메인에 성공적으로 가입했기 때문에 AD 서버에 잘못된 구성이 있다고 확신합니다.
내 명령은 "net Ads Join -U myaccount -k"입니다.
여기서 "접근 권한이 부여되지 않은 개체", 어떤 개체와 어떤 접근 권한이 필요한지 어떻게 알 수 있나요?
나는 다음과 같은 조치를 취했습니다.
ldapsearch를 사용하여 LDAP 인터페이스가 제대로 작동하는지 확인하세요. 예, 잘 작동하고 있습니다.
다른 AD 도메인에 가입, 성공
"-k"를 사용하지 않으면 오류 메시지는 다음과 같습니다.
error_string : 'Failed to set machine spn:
Operations error
Do you have sufficient permissions to create machine accounts?'
서비스 원칙 이름 설정이 실패한 것 같지만 AD 서버에서 setspn -S를 성공적으로 설정할 수 있습니다.
따라서 Kerberos 서비스 구성에 문제가 있는 것 같습니다. 이 문제를 해결하는 방법에 대한 제안을 환영합니다.
미리 감사드립니다.