Присоединиться к домену AD не удалось. Вход в SPNEGO не удалось: {Доступ запрещен}. Процесс запросил доступ к объекту, но не получил эти права доступа.

tag-icon tag-icon linux windows active-directory samba kerberos
Присоединиться к домену AD не удалось. Вход в SPNEGO не удалось: {Доступ запрещен}. Процесс запросил доступ к объекту, но не получил эти права доступа.

Я столкнулся с проблемой при попытке присоединиться к домену Active Directory с помощью Samba.

Сообщение об ошибке:

cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00   00 00 00 00 00 00 00 00   ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D   E5 27 86 90 39 7C 4E 1E   ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.

Мой сервер AD — Windows Server 2012.

Я почти уверен, что на сервере AD что-то неправильно настроено, потому что тот же хост Linux успешно присоединяется к другому домену AD.

Моя команда: «net ads join -U myaccount -k»

В данном случае «объект есть, но ему не предоставлены права доступа». Как узнать, какой объект и какое разрешение на доступ требуется?

Я выполнил следующие действия:

  • использую ldapsearch, чтобы убедиться, что интерфейс LDAP работает нормально, да, он работает нормально

  • присоединиться к другому домену AD, успех

  • Если я не использую «-k», сообщение об ошибке будет следующим:

    error_string             : 'Failed to set machine spn: 
    Operations error
    Do you have sufficient permissions to create machine accounts?'

Похоже, не удалось установить имя принципа службы, однако я могу успешно выполнить setspn -S на сервере AD.

Итак, я предполагаю, что что-то не так с конфигурацией службы Kerberos. Буду рад любым предложениям по устранению этой проблемы.

Заранее спасибо.

Связанный контент