我在嘗試使用 Samba 加入 Active Directory 網域時遇到問題。
錯誤訊息是
cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D E5 27 86 90 39 7C 4E 1E ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
我的AD伺服器是windows server 2012。
我非常確定 AD 伺服器上的設定有問題,因為同一台 Linux 主機成功加入了其他 AD 網域。
我的命令是“net ads join -U myaccount -k”
這裡,“一個物件但尚未被授予訪問權限”,我如何才能知道是什麼物件以及需要什麼存取權限?
我確實採取了以下行動:
使用 ldapsearch 確保 LDAP 介面工作正常,是的,它工作正常
加入其他AD域,成功
如果我不使用“-k”,錯誤訊息將是:
error_string : 'Failed to set machine spn:
Operations error
Do you have sufficient permissions to create machine accounts?'
看起來設定服務主體名稱失敗,但是,我可以在 AD 伺服器上成功 setspn -S 。
因此,我猜 kerberos 服務配置有問題,歡迎提供有關如何解決此問題的任何建議。
提前致謝。