înregistrare Logare
Puncte:2
Alek_A avatar Server

NFS4 + Kerberos nu funcționează din kernel-ul 5.10

drapel pe
Alek_A

De când am actualizat la Debian Bullseye, clienții nfs nu mai funcționează:

# mount -vvt nfs4 -o sec=krb5 nfs11:/srv /mnt
mount.nfs4: timeout stabilit pentru miercuri 15 sept 20:25:49 2021
mount.nfs4: încercarea de opțiuni bazate pe text „sec=krb5,vers=4.2,addr=x.y.11.63,clientaddr=x.y.11.42”
mount.nfs4: mount(2): Permisiune refuzată
mount.nfs4: acces refuzat de server în timpul montării nfs11:/srv

Când instalez kernelul 5.9 (linux-image-5.9.0-0.bpo.5-cloud-amd64) pe același sistem - funcționează.

am incercat si eu:

  • Debian Testing Kernel (kernel 5.14) - nu funcționează
  • Ubuntu 21.10 Impish (kernel 5.13) - nu funcționează
  • Ubuntu 20.04 Focal (kernel 5.4) - funcționează

Cu condiția ca toate sistemele să aibă o configurație NFS/Kerberos identică, concluzia mea: s-a schimbat ceva în nucleu care nu permite montarea partajărilor NFS/Kerberos.

  • KDC-ul meu - Samba4 AD
  • Configurarea mea Kerberos și NFS este destul de standard, ca în orice instrucțiuni
  • HOSTNAME$@REALM nfs/fqdn@REALM gazdă/...principiile sunt acolo în fila cheie client și server

eu pun RPCGSSDOPTS="-vvv" în /etc/default/nfs-common pentru depanare. În următoarele jurnale:

  • nfs11 - serverul meu de testare nfs (Debian 11, kernel 5.10)
  • tst2 - clientul meu de testare nfs (Debian 11)

Iată syslog-ul când clientul încearcă să monteze nfs share:

Client nfs pornit cu nucleul 5.9 (se montează cu succes)

rpc.gssd[446]: #012handle_gssd_upcall: 'mech=krb5 uid=0 service=* enctypes=18,17,16,23,3,1,2' (nfs/clnt0)
rpc.gssd[446]: krb5_use_machine_creds: uid 0 tgtname (null)
rpc.gssd[446]: Numele de gazdă complet pentru „nfs11.my.domain” este „nfs11.my.domain”
rpc.gssd[446]: Numele de gazdă complet pentru „tst2.my.domain” este „tst2.my.domain”
rpc.gssd[446]: Reușită obținerea intrării keytab pentru „[email protected]”
rpc.gssd[446]: gssd_get_single_krb5_cred: principal '[email protected]' ccache:'FILE:/tmp/krb5ccmachine_MY.DOMAIN'
rpc.gssd[446]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631755378
rpc.gssd[446]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[446]: DEBUG: port deja setat la 2049
rpc.gssd[446]: crearea contextului cu serverul [email protected]
rpc.gssd[446]: se efectuează downcall: lifetime_rec=36000 [email protected]
rpc.gssd[446]: #012handle_gssd_upcall: 'mech=krb5 uid=0 enctypes=18,17,16,23,3,1,2' (nfs/clnt0)
rpc.gssd[446]: krb5_use_machine_creds: uid 0 tgtname (null)
rpc.gssd[446]: Numele de gazdă complet pentru „nfs11.my.domain” este „nfs11.my.domain”
rpc.gssd[446]: Numele de gazdă complet pentru „tst2.my.domain” este „tst2.my.domain”
rpc.gssd[446]: Reușită obținerea intrării keytab pentru „[email protected]”
rpc.gssd[446]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631755378
rpc.gssd[446]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631755378
rpc.gssd[446]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[446]: DEBUG: port deja setat la 2049
rpc.gssd[446]: crearea contextului cu serverul [email protected]
rpc.gssd[446]: se efectuează downcall: lifetime_rec=36000 [email protected]
nfsidmap[524]: cheie: 0x3b88d120 tip: valoare uid: [email protected] timeout 600
nfsidmap[524]: nfs4_name_to_uid: apelarea nsswitch->name_to_uid
nfsidmap[524]: nss_getpwnam: nume „rădăcină@domeniulmeu” domeniu „domeniu.meu”: numele local rezultat „rădăcină”
nfsidmap[524]: nfs4_name_to_uid: nsswitch->name_to_uid returnat 0
nfsidmap[524]: nfs4_name_to_uid: valoarea finală returnată este 0
nfsidmap[525]: cheie: 0x317cb571 tip: gid valoare: [email protected] timeout 600
nfsidmap[525]: nfs4_name_to_gid: apelarea nsswitch->name_to_gid
nfsidmap[525]: nfs4_name_to_gid: nsswitch->name_to_gid returnat 0
nfsidmap[525]: nfs4_name_to_gid: valoarea finală returnată este 0

Client nfs pornit cu nucleul 5.10 (nu se montează)

rpc.gssd[450]: #012handle_gssd_upcall: 'mech=krb5 uid=0 service=* enctypes=18,17,16,3,1,2' (nfs/clnt3)
rpc.gssd[450]: krb5_use_machine_creds: uid 0 tgtname (null)
rpc.gssd[450]: Numele de gazdă complet pentru „nfs11.my.domain” este „nfs11.my.domain”
rpc.gssd[450]: Numele de gazdă complet pentru „tst2.my.domain” este „tst2.my.domain”
rpc.gssd[450]: Reușită obținerea intrării keytab pentru „[email protected]”
rpc.gssd[450]: gssd_get_single_krb5_cred: principal '[email protected]' ccache:'FILE:/tmp/krb5ccmachine_MY.DOMAIN'
rpc.gssd[450]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631656676
rpc.gssd[450]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631629984
rpc.gssd[450]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[450]: DEBUG: port deja setat la 2049
rpc.gssd[450]: crearea contextului cu serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul krb5 pentru utilizatorul cu uid 0 pentru serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul mașinii krb5 cu cache-ul de credit FILE:/tmp/krb5ccmachine_MY.DOMAIN pentru serverul nfs11.my.domain
rpc.gssd[450]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[450]: DEBUG: port deja setat la 2049
rpc.gssd[450]: crearea contextului cu serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul krb5 pentru utilizatorul cu uid 0 pentru serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul mașinii krb5 cu cache-ul de credit FILE:/tmp/krb5ccmachine_MY.DOMAIN pentru serverul nfs11.my.domain
rpc.gssd[450]: AVERTISMENT: Cache-ul mașinii a expirat prematur sau a fost corupt în încercarea de a recrea memoria cache pentru serverul nfs11.my.domain
rpc.gssd[450]: Numele de gazdă complet pentru „nfs11.my.domain” este „nfs11.my.domain”
rpc.gssd[450]: Numele de gazdă complet pentru „tst2.my.domain” este „tst2.my.domain”
rpc.gssd[450]: Reușită obținerea intrării keytab pentru „[email protected]”
rpc.gssd[450]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631656676
rpc.gssd[450]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631656676
rpc.gssd[450]: INFORMAȚII: Acreditările în CC „FILE:/tmp/krb5ccmachine_MY.DOMAIN” sunt bune până la 1631629984
rpc.gssd[450]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[450]: DEBUG: port deja setat la 2049
rpc.gssd[450]: crearea contextului cu serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul krb5 pentru utilizatorul cu uid 0 pentru serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul mașinii krb5 cu cache-ul de credit FILE:/tmp/krb5ccmachine_MY.DOMAIN pentru serverul nfs11.my.domain
rpc.gssd[450]: crearea clientului tcp pentru serverul nfs11.my.domain
rpc.gssd[450]: DEBUG: port deja setat la 2049
rpc.gssd[450]: crearea contextului cu serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul krb5 pentru utilizatorul cu uid 0 pentru serverul [email protected]
rpc.gssd[450]: AVERTISMENT: Nu s-a putut crea contextul mașinii krb5 cu cache-ul de credit FILE:/tmp/krb5ccmachine_MY.DOMAIN pentru serverul nfs11.my.domain
rpc.gssd[450]: EROARE: Nu s-a putut crea contextul mașinii krb5 cu orice cache de acreditări pentru serverul nfs11.my.domain
rpc.gssd[450]: efectuarea unui apel de eroare

Am cautat mult pe google si nu am gasit nimic legat de... În prezent, ca o soluție, rulez nucleul backported din ediția anterioară în toate sistemele client nfs. Dar cred că este periculos și ceva îmi spune că se poate rupe oricând.

S-a confruntat cineva cu o astfel de problemă? Poate ar trebui să ajustez ceva pentru a se potrivi cu modificările din nucleu? Poate ar trebui să umplu bug-ul nucleului?

ACTUALIZAȚI. S-au adăugat jurnalele KDC.

KDC la montarea de la client cu kernel 5.9 - cu succes

[21/09/2021 21:55:12.061264, 3] ../../source4/smbd/service_stream.c:67(stream_terminate_connection)
  stream_terminate_connection: Încheierea conexiunii - „dcesrv: NT_STATUS_CONNECTION_DISCONNECTED”
[2021/09/21 21:55:44.743415, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ [email protected] de la ipv4:x.y.11.42:38701 pentru krbtgt/[email protected]
[2021/09/21 21:55:44.747105, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Patipuri trimise de client: 150, 149
[2021/09/21 21:55:44.747154, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm PKINIT pa-data -- [email protected]
[2021/09/21 21:55:44.747178, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm ENC-TS pa-data -- [email protected]
[2021/09/21 21:55:44.747209, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: nu a fost găsită nicio preautorizare, returnând PREAUTH-REQUIRED -- [email protected]
[2021/09/21 21:55:44.751030, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ [email protected] de la ipv4:x.y.11.42:50506 pentru krbtgt/[email protected]
[2021/09/21 21:55:44.753959, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Patipuri trimise de client: marcaj de timp criptat, 150, 149
[2021/09/21 21:55:44.754060, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm PKINIT pa-data -- [email protected]
[2021/09/21 21:55:44.754114, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm ENC-TS pa-data -- [email protected]
[2021/09/21 21:55:44.754187, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: pre-autentificarea ENC-TS a reușit -- [email protected] folosind arcfour-hmac-md5
[2021/09/21 21:55:44.754275, 3] ../../auth/auth_log.c:635(log_authentication_event_human_readable)
  Autentificare: utilizator [Kerberos KDC,ENC-TS Pre-authentication] [(null)]\[[email protected]] la [Tue, 21 Sep 2021 21:55:44.754261 +06] cu [arcfour-hmac-md5 ] stare [NT_STATUS_OK] stație de lucru [(null)] gazdă la distanță [ipv4:x.y.11.42:50506] a devenit [MYDOM]\[tst2$] [S-1-5-21-3408476796-3867293677-9018071391].-6. gazdă locală [NULL] 
  {"timestamp": "2021-09-21T21:55:44.754359+0600", "type": "Autentificare", "Autentificare": {"versiunea": {"major": 1, "minor": 2}, "eventId": 4624, "logonId": "dd24014b273cc7a8", "logonType": 3, "status": "NT_STATUS_OK", "localAddress": null, "remoteAddress": "ipv4:x.y.11.42:50506"", "serviceDescription"", : „Kerberos KDC”, „authDescription”: „ENC-TS Pre-autentificare”, „clientDomain”: null, „clientAccount”: „[email protected]”, „stație de lucru”: null, „becameAccount”: „tst2 $", "becameDomain": "MYDOM", "becameSid": "S-1-5-21-3408476796-3867293677-901807371-6619", "mappedAccount": "tst2$", "mappedDomain": "MYDOM", "netlogonComputer": null, "netlogonTrustAccount": nul, "netlogonNegotiateFlags": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "mac-duration}3:5", "mac-duration}3": 3 }
[2021/09/21 21:55:44.761108, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ authtime: 2021-09-21T21:55:44 starttime: unset endtime: 2021-09-22T07:55:44 reînnoire până la: 2021-09-22T21:55:44
[2021/09/21 21:55:44.761282, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Enctypes acceptate de client: arcfour-hmac-md5, aes128-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96, folosind arcfour-hmac-md5/arcfour-hmac-md5
[2021/09/21 21:55:44.761368, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: steaguri solicitate: renewable-ok, forwardable
[2021/09/21 21:55:44.767382, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: TGS-REQ [email protected] de la ipv4:x.y.11.42:39570 pentru nfs/[email protected] [canonalizare, reînnoire, redirecționabilă]
[2021/09/21 21:55:44.773999, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: TGS-REQ authtime: 2021-09-21T21:55:44 starttime: 2021-09-21T21:55:44 endtime: 2021-09-22T07:55:44 reînnoire până la: 2021-09-25:52T24
[21/09/2021 21:55:44.774695, 3] ../../source4/smbd/service_stream.c:67(stream_terminate_connection)
  stream_terminate_connection: Încheierea conexiunii - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'

KDC la montarea de pe client cu nucleul 5.10 - nu a reușit montarea

[2021/09/22 00:31:39.893723, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ [email protected] de la ipv4:x.y.11.42:46094 pentru krbtgt/[email protected]
[2021/09/22 00:31:39.899112, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Patipuri trimise de client: 150, 149
[2021/09/22 00:31:39.899162, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm PKINIT pa-data -- [email protected]
[2021/09/22 00:31:39.899186, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm ENC-TS pa-data -- [email protected]
[2021/09/22 00:31:39.899221, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: nu a fost găsită nicio preautorizare, returnând PREAUTH-REQUIRED -- [email protected]
[2021/09/22 00:31:39.901942, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ [email protected] de la ipv4:x.y.11.42:39303 pentru krbtgt/[email protected]
[2021/09/22 00:31:39.905030, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Patipuri trimise de client: marcaj de timp criptat, 150, 149
[2021/09/22 00:31:39.905080, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm PKINIT pa-data -- [email protected]
[2021/09/22 00:31:39.905105, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Căutăm ENC-TS pa-data -- [email protected]
[2021/09/22 00:31:39.905171, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: pre-autentificarea ENC-TS a reușit -- [email protected] folosind arcfour-hmac-md5
[2021/09/22 00:31:39.905270, 3] ../../auth/auth_log.c:635(log_authentication_event_human_readable)
  Autentificare: utilizator [Kerberos KDC,ENC-TS Pre-authentication] [(null)]\[[email protected]] la [miercuri, 22 septembrie 2021 00:31:39.905248 +06] cu [arcfour-hmac-md5 ] stare [NT_STATUS_OK] stație de lucru [(null)] gazdă la distanță [ipv4:x.y.11.42:39303] a devenit [MYDOM]\[tst2$] [S-1-5-21-3408476796-3867293677-9018072371].-6. gazdă locală [NULL] 
  {"timestamp": "2021-09-22T00:31:39.905331+0600", "type": "Autentificare", "Autentificare": {"versiunea": {"major": 1, "minor": 2}, "eventId": 4624, "logonId": "8511280d720bd92c", "logonType": 3, "status": "NT_STATUS_OK", "localAddress": null, "remoteAddress": "ipv4:x.y.11.42:3930Description"3", "serviceDescription"3 : „Kerberos KDC”, „authDescription”: „ENC-TS Pre-autentificare”, „clientDomain”: null, „clientAccount”: „[email protected]”, „stație de lucru”: null, „becameAccount”: „tst2 $", "becameDomain": "MYDOM", "becameSid": "S-1-5-21-3408476796-3867293677-901807371-6621", "mappedAccount": "tst2$", "mappedDomain": "MYDOM", "netlogonComputer": null, "netlogonTrustAccount": nul, "netlogonNegotiateFlags": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "mac-duration}3": "mac-duration}3": 3 }
[2021/09/22 00:31:39.912509, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: AS-REQ authtime: 2021-09-22T00:31:39 starttime: unset endtime: 2021-09-22T10:31:39 reînnoire până la: 2021-09-23T00:31:39
[2021/09/22 00:31:39.912597, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Enctypes acceptate de client: arcfour-hmac-md5, aes128-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96, folosind arcfour-hmac-md5/arcfour-hmac-md5
[2021/09/22 00:31:39.912663, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: steaguri solicitate: renewable-ok, forwardable
[2021/09/22 00:31:39.918313, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: TGS-REQ [email protected] de la ipv4:x.y.11.42:59850 pentru nfs/[email protected] [canonalizare, reînnoire, redirecționabilă]
[2021/09/22 00:31:39.924869, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: TGS-REQ authtime: 2021-09-22T00:31:39 starttime: 2021-09-22T00:31:39 endtime: 2021-09-22T10:31:39 reînnoire până la: 2021-09-213:30
[2021/09/22 00:31:39.925340, 3] ../../source4/smbd/service_stream.c:67(stream_terminate_connection)
  stream_terminate_connection: Încheierea conexiunii - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'
[2021/09/22 00:31:39.928319, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: TGS-REQ [email protected] de la ipv4:x.y.11.42:59852 pentru nfs/[email protected] [regenerabil, redirecționabil]
[2021/09/22 00:31:39.930936, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: serverul (nfs/[email protected]) nu are suport pentru etypes
[2021/09/22 00:31:39.930998, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: a eșuat construirea TGS-REP la ipv4:x.y.11.42:59852
[2021/09/22 00:31:39.931336, 3] ../../source4/smbd/service_stream.c:67(stream_terminate_connection)
  stream_terminate_connection: Încheierea conexiunii - 'kdc_tcp_call_loop: tstream_read_pdu_blob_recv() - NT_STATUS_CONNECTION_DISCONNECTED'

Înțeleg Serverul (nfs/[email protected]) nu are suport pentru etypes eroare. Google găsește probleme vechi legate de vechile enctypes, nimic util. Toate pachetele sunt la zi.

Am făcut ceva progrese, datorită comentariilor. Am instalat Samba DC proaspăt, am alăturat atât clientul (kernel 5.10) cât și serverul la noul KDC - și a funcționat! Noul KDC permite clienților NFS cu orice nucleu să monteze partajări. Se pare că problema este în producția mea Samba DC. M-am uitat în DB-urile ldap și se pare că sunt similare, cu excepția foarte puține adăugiri pe dc proaspăt, cum ar fi 3 obiecte noi și câteva câmpuri. În prezent, nu știu ce ar trebui să modific în DC de producție pentru a-l face să se comporte ca unul proaspăt. Reinstalarea ar fi ultima soluție, pentru că implică MULT timp.

DC de producție a fost creat cu mult timp în urmă și a fost migrat de mai multe ori utilizând replicarea sau backup-urile standard de samba. Informații despre producție și DC proaspete:

  • oEMInformation: furnizat de SAMBA 4.1.6-Ubuntu
  • oEMInformation: furnizat de SAMBA 4.13.5-Debian

În prezent, DC-urile rulează sub sisteme de operare Debian identice.

UPDATE 2. Rezolvat!

Vezi mai jos soluția.

523
0 + 0
nfs
Michael Hampton avatar
drapel cz
Michael Hampton
Verificați jurnalele pe serverul NFS și pe KDC.
1
Răspunde
user1686 avatar
drapel fr
user1686
Puteți încerca `sysctl sunrpc.rpc_debug=0xFFFF` pentru a obține mai multe jurnale? De asemenea, este disponibil modulul cripto `cts`?
0
Răspunde
Alek_A avatar
drapel pe
Alek_A
@MichaelHampton, Mulțumesc pentru sugestie! mi-a permis să fac ceva progrese. Am actualizat postarea. Nu am inclus jurnalele de server, deoarece nu conțin erori sau avertismente.
0
Răspunde
Alek_A avatar
drapel pe
Alek_A
@user1686, Mulțumesc pentru idee, am făcut-o la fel de bine cu depanarea nfsd, dar, din păcate, jurnalele nu exprimă că ceva nu este în regulă. Puteți explica ce este modulul `cts` și cum verific dacă este disponibil?
0
Răspunde
user1686 avatar
drapel fr
user1686
Nu sunt sigur dacă are legătură cu soluția găsită, dar mesajul „Server (nfs/[email protected]) nu are suport pentru etypes” pare extrem de ca și cum în contul AD al serverului tău NFS lipsește „Suportă AES128/AES256”. parametrii fiind activați, așa că KDC consideră că este doar RC4 (care va deveni în curând învechit).
0
Răspunde
user1686 avatar
drapel fr
user1686
(Nu sunt sigur ce ați vrut să înțelegeți prin „client alăturat la noul DC”, totuși – ați configurat un domeniu complet nou? Ar trebui să aveți un nou DC pe același domeniu, apoi să retrogradați și să anulați vechiul DC, păstrând exact același conținut de director în acest fel, dar obțineți în continuare un DC curat cu suport AES.)
0
Răspunde
Alek_A avatar
drapel pe
Alek_A
@user1686 În ceea ce privește `Serverul .. nu are suport pentru etypes`, cred că este un mesaj înșelător, deoarece mă îndoiesc că serverul NFS proaspăt cu setările implicite în sistemul de operare cel mai recent și actualizat are probleme cu etypes. Îmi puteți spune cum să verific dacă serverul acceptă AES? Dar probabil că are legătură cu o eroare DC internă cauzată de vechii parametri LDAP. "client alăturat noului DC" - am vrut să spun literalmente alăturat acele gazde la dc nou-nouț cu `msktutil`, dc este complet nou fără a păstra conținut LDAP. Nu este nevoie să retrogradați și să distrugeți unul vechi, ele pot coexista.
0
Răspunde
user1686 avatar
drapel fr
user1686
Să [continuăm această discuție în chat](https://chat.stackexchange.com/rooms/129872/discussion-between-user1686-and-alek-a).
0
Răspunde
Puncte:2
Birger avatar Server
drapel us
Birger

Linux a eliminat suportul pentru RC4-HMAC-MD5 de la Kerberos în 5.10. Clientul dvs. folosește acel tip de criptare, așa cum se poate vedea în ieșirea jurnalului serverului:

[2021/09/21 21:55:44.761282, 3] ../../source4/auth/kerberos/krb5_init_context.c:80(smb_krb5_debug_wrapper)
  Kerberos: Enctypes acceptate de client: arcfour-hmac-md5, aes128-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96, folosind arcfour-hmac-md5/arcfour-hmac-md5

Dacă tipurile AES erau disponibile, Samba ar fi trebuit să aleagă aes256-cts-hmac-sha1-96.

Nu este în niciunul dintre jurnalele tale, dar aș ghici că eșecul TGS-REQ solicită des3-cbc-sha1, aes128-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96. Acest lucru poate fi verificat pornind rpc.gssd cu parametrii -vvvrr. În acest caz, contul AD al clientului nu are tipurile de criptare necesare activate. Acest lucru se va întâmpla dacă clientul s-a alăturat domeniului într-un moment în care Samba nu a acceptat AES. Puteți activa tipurile de criptare prin resetarea parolei contului AD al clientului sau alăturarea din nou la domeniu. De asemenea, va trebui să vă asigurați că tipurile de criptare sunt adăugate la tasta-cheie a clientului. Acest lucru poate fi verificat în funcționare klist -ke asupra clientului.

În cazul în care utilizați anumiți directori de servicii, asigurați-vă că adăugați în mod explicit tipurile de criptare în contul clientului (pe rularea ADC net ads enctypes set <ACCOUNTNAME> 24). În caz contrar, vor fi exportate doar tipurile ARCFOUR.

0 + 0
Alek_A avatar
drapel pe
Alek_A
Mă bucur că răspunsul tău ajută oamenii, judecând după votul pozitiv ;) Cu siguranță am făcut ceea ce ai sugerat și multe altele. Din păcate, singura soluție în cazul meu specific a fost aceea pe care am descris-o. Probabil se datorează faptului că domeniul a fost furnizat cu mult timp în urmă sau din cauza faptului că a fost redenumit cândva. Deci, repararea atributelor LDAP ale DC a ajutat.Oricum multumesc pentru timpul acordat!
0
Răspunde
Puncte:1
Alek_A avatar Server
drapel pe
Alek_A

Solutia in cazul meu a fost urmatoarea: Am încercat să fac LDAP DB pe DC de producție să arate ca LDAP DB pe DC proaspăt (care funcționează). Așa că am schimbat câteva domenii. A repornit totul. Și a funcționat!

Ce am schimbat exact.

Am adăugat/schimbat următoarele câmpuri în obiect dn: DC=meu,DC=domeniu folosind ldbedit -H /var/lib/samba/private/sam.ldb:

msDS-Behavior-Versiunea: 4
msDS-NcType: 0
ServerState: 1

DC de producție a fost redenumit în trecut, dar am găsit resturi (nume vechi) în următoarele obiecte:

dn: CN=<nume-vechi>,CN=*,CN=ypServ30,CN=RpcServices,CN=System,DC=my,DC=domain

Am rezolvat acest lucru redenumindu-le cu ldbrename, de exemplu:

ldbrename -H /var/lib/samba/private/sam.ldb 'CN=<nume-vechi>,CN=bootparams,CN=ypServ30,CN=RpcServices,CN=System,DC=my,DC=domain' 'CN =<nume-actual>,CN=bootparams,CN=ypServ30,CN=RpcServices,CN=System,DC=my,DC=domain'

Poate că nu toate aceste modificări au fost necesare, dar funcționează acum. Mulțumesc pentru comentarii!

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.