当我尝试使用 Samba 加入 Active Directory 域时遇到问题。
错误信息是
cli_session_creds_prepare_krb5: Doing kinit for [email protected] to access domaincontroller.hostname
cli_session_setup_spnego_send: Connect to access domaincontroller.hostname as [email protected] using SPNEGO
GENSEC backend 'gssapi_spnego' registered
GENSEC backend 'gssapi_krb5' registered
GENSEC backend 'gssapi_krb5_sasl' registered
GENSEC backend 'spnego' registered
GENSEC backend 'schannel' registered
GENSEC backend 'naclrpc_as_system' registered
GENSEC backend 'sasl-EXTERNAL' registered
GENSEC backend 'ntlmssp' registered
GENSEC backend 'ntlmssp_resume_ccache' registered
GENSEC backend 'http_basic' registered
GENSEC backend 'http_ntlm' registered
GENSEC backend 'http_negotiate' registered
Starting GENSEC mechanism spnego
Starting GENSEC submechanism gse_krb5
Bad SMB2 signature for message
[0000] 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ........ ........
[0000] C1 A6 B1 DE DE D5 5D 6D E5 27 86 90 39 7C 4E 1E ......]m .'..9|N.
SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
我的 AD 服务器是 Windows Server 2012。
我很确定 AD 服务器上的配置存在错误,因为同一台 Linux 主机成功加入了其他 AD 域。
我的命令是“net ads join -U myaccount -k”
这里“有一个对象但是还没有被授予访问权限”,我怎么才能知道需要什么对象和什么访问权限呢?
我确实采取了以下行动:
使用 ldapsearch 确保 LDAP 接口工作正常,是的,它工作正常
加入其他AD域,成功
如果我不使用“-k”,则错误消息将是:
error_string : 'Failed to set machine spn:
Operations error
Do you have sufficient permissions to create machine accounts?'
看起来设置服务主体名称失败,但是我可以在 AD 服务器上成功设置 spn -S。
因此,我猜测 Kerberos 服务配置有问题,欢迎就如何解决此问题提出任何建议。
提前致谢。