Ubuntu 17.10 - Kerberos / SSSD AD Пользовательский логин только иногда работает
Я новичок здесь, поэтому, пожалуйста, сообщите мне, если я пропустил что-то о правилах здесь.
Мы запускаем сеть компьютеров в домене AD для Windows Server 2016.
В Ubuntu 16.04 мы настроили Ubuntu, чтобы пользователи домена могли войти в систему через Kerberos и SSSD. CIFS-ресурс монтируется также при входе в систему через pam_mount.
Это работает безупречно в Ubuntu 16.04. Однако с тем же smb.conf, sssd.conf и pam_mount.conf.xml в Ubuntu 17.10, логин иногда работает, а иногда нет! Как с помощью графического интерфейса, так и с командной строки, а также ssh.
Очень сложно определить ошибку, поскольку она не возникает регулярно, и иногда логин с учетными данными AD работает!
Из того, что я смог собрать со стороны DC, когда вход на клиент Ubuntu 17.10 не удался, клиент не запросил кливера из DC.
Поскольку я не слишком хорошо знаком с SSSD , Kerberos и PAM, мне было интересно, не упустил ли я некоторые новые разработки в этих пакетах, которые требуют дополнительной настройки?
Где я мог бы начать выявлять проблему?
Ошибка в sssd_pam.log:
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dom_forwarder] (0x0100): pam_dp_send_req returned 0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sss_dp_req_destructor] (0x0400): Deleting request: [0x5653aba02710:3:username@domain.name@domain.name]
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sbus_remove_timeout] (0x2000): 0x5653abdb83b0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dp_process_reply] (0x0200): received: [4 (System error)][domain.name]
sssd.conf выглядит так:
[sssd]
config_file_version = 2
services = nss,pam
domains = domain.name
[nss]
[pam]
debug_level = 8
[domain/domain.name]
debug_level = 8
id_provider = ad
access_provider = ad
auth_provider = ad
enumerate = true
cache_credentials = false
case_sensitive = false
override_homedir = /home/%u
default_shell = /bin/bash
create_homedir = true
remove_homedir = true
krb5.conf вот так:
[libdefaults]
default_realm = DOMAIN.NAME
ticket_lifetime = 24h
renew_lifetime = 7d
[realms]
CYANOLAB = {
kdc = server1.domain.name
kdc = server2.domain.name
admin_server = server1.domain.name
}
И smb.conf вот так:
[global]
workgroup = DOMAIN
client signing = yes
client use spnego = yes
realm = domain.name
security = ads
kerberos method = secrets and keytab
То, что я пробовал до сих пор:
Включено cache_credentials в конфигурации SSSD. Переустановил всю систему. Скрипт с общими * файлами. Перезагрузите все службы (smbd, sssd, network) вручную.Все не увенчались успехом.
Я действительно очень благодарен за советы, которые могли бы указать мне в правильном направлении на решение этой загадочной (по крайней мере, мне) проблемы.