Falha na adesão ao domínio AD Falha no login do SPNEGO: {Acesso negado} Um processo solicitou acesso a um objeto, mas não recebeu esses direitos de acesso

tag-icon tag-icon linux windows active-directory samba kerberos
Falha na adesão ao domínio AD Falha no login do SPNEGO: {Acesso negado} Um processo solicitou acesso a um objeto, mas não recebeu esses direitos de acesso

Encontro um problema ao tentar ingressar no domínio do Active Directory com o Samba.

A mensagem de erro é

cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00   00 00 00 00 00 00 00 00   ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D   E5 27 86 90 39 7C 4E 1E   ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.

Meu servidor AD é o Windows Server 2012.

Tenho certeza de que há algo errado configurado no servidor AD, porque o mesmo host Linux ingressa em outro domínio AD com sucesso.

Meu comando é "net ads join -U myaccount -k"

Aqui, "um objeto, mas não recebeu direitos de acesso", como posso saber qual objeto e qual permissão de acesso é necessária?

Eu segui as ações:

  • usando ldapsearch para garantir que a interface LDAP esteja funcionando bem, sim, está funcionando bem

  • junte-se a outro domínio AD, sucesso

  • Se eu não usar "-k", a mensagem de erro será:

    error_string             : 'Failed to set machine spn: 
    Operations error
    Do you have sufficient permissions to create machine accounts?'

Parece que a definição do nome do princípio do serviço falhou, no entanto, consigo setspn -S no servidor AD com êxito.

Portanto, suponho que há algo errado na configuração do serviço Kerberos. Qualquer sugestão sobre como solucionar esse problema é bem-vinda.

Desde já, obrigado.

informação relacionada