我已经在 AWS EC2 中为我的小型企业设置了一个 Samba 4 Active Directory 域控制器。我正在尝试配置 AWS Workmail 以使用此目录。我已遵循亚马逊的说明这里设置链接到我的 Samba 4 安装的 AD Connector 实例。AWS Directory Service 控制台显示连接器的状态为“活动”,并且我能够使用该目录设置 Workmail 组织。但是,当打开该组织的任何管理仪表板时,都会显示一条错误横幅,内容如下:
The connection to your directory cannot be established, error message
reported by Directory:
Authentication failed. Request id: 22b5a534-e08c-4e1a-9b5e-396f8922ebe8.
You can verify that your settings are correct using AWS Directory Service
Documentation. Contact AWS Support if the issue remains.
在 Samba 服务器的日志中,我发现以下内容:
ldb_wrap open of secrets.ldb
Kerberos: TGS-REQ [email protected] from
ipv4:172.30.5.246:56436 for ldap/[email protected]
Kerberos: TGS-REQ authtime: 2019-10-20T23:06:00 starttime: 2019-10-20T23:06:00 endtime: 2019-10-21T09:06:00 renew till: unset
Terminating connection - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
single_terminate: reason[kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
Starting GENSEC mechanism gssapi_krb5_sasl
gensec_gssapi: NO credentials were delegated
SASL/GSSAPI Connection from client will have no cryptographic protection
Terminating connection - 'ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
single_terminate: reason[ldapsrv_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED]
dreplsrv_notify_schedule(5) scheduled for: Sun Oct 20 23:06:09 2019 UTC
dreplsrv_notify_schedule(5) scheduled for: Sun Oct 20 23:06:14 2019 UTC
有人能告诉我是什么导致了这个问题并提出解决方案吗?有没有人成功让 AWS AD Connector 与 Samba 4 互操作?
答案1
身份验证错误问题已通过添加来解决
ldap server require strong auth = no
至/etc/smb.conf。然而,此修复程序又暴露了另一个问题。我运行的 Samba 版本不支持虚拟列表视图。该问题导致日志中出现以下消息:
ldapsrv_do_call: Critical extension 2.16.840.1.113730.3.4.9 is not known to this server
为了解决这个问题,我安装了较新版本的 Samba (4.6.7)。事实证明,这个版本还需要进行一项更改:这个版本的 Samba 似乎对 RPC 端点使用了更广泛的值范围。我在 Amazon 安全组中为 TCP 流量打开了端口 1024-65535。
完成所有这些更改后,我现在能够在 Amazon WorkMail 中看到我的 Samba 用户