再会,
我们有多个 HPC(RHEL、CentOS、Ubuntu)运行 samba 共享,以便用户可以轻松地来回传输文件。大约 3 个月前,DC/AD 进行了刷新,冗余(2 台服务器),从那时起,我们的 samba 共享偶尔会因以下原因而失败:systemctl status smb
现在,没有更改任何密码,sssd 仍然允许域用户登录并且没有显示任何错误。这肯定是 kerberos/smb 问题。很高兴分享解决此问题所需的任何配置文件。
答案1
“预认证失败”在 Kerberos 中表示“密码错误”。
您的日志显示该消息与机器帐户(因为它被命名为____$,幸运的是,你没有在日志中切断它),所以在 Windows 术语中,这是“此工作站与主域之间的信任关系失败”错误,因为
即使你说没有更改密码,通常 AD 成员主机都会更改其机器帐户密码自动地按照计划,大约每 30 天一次,因此收到此消息可能意味着:
a) 这台机器的密码更改没有从进行更改的 AD 域控制器正确复制到其他 DC,或者 b) AD DC 已从备份中恢复;这意味着当机器尝试使用新密码时,DC 仍然需要旧密码。
该特定消息是由于您的 SSSD 尝试连接到 AD(可能是为了获取用户帐户信息),但相同的机器帐户密码也用于验证传入连接的 Kerberos 票证,因此如果它与 AD 不同步,服务器将无法再接受任何基于 NTLM 或 Kerberos 票证的连接。
由于您的网络从 1 个 DC 变为多个,我有点怀疑它们之间的复制存在问题,这需要首先在 DC 端解决。不过,在您这边,您可能需要重置机器帐户密码(例如重新加入服务器)。