Ubuntu 17.10 - Kerberos/SSSD Пользовательский вход в систему AD только иногда работает
Я являюсь новым здесь, поэтому советуйте мне, если я действительно пропускал что-то о правилах здесь.
Мы выполняем сеть компьютеров в домене Windows Server 2016 AD.
В Ubuntu 16.04 мы настроили Ubuntu, чтобы позволить, чтобы пользователи домена вошли в систему через Kerberos и SSSD. Доля CIFS смонтирована при входе в систему также через pam_mount.
Это работает безупречно в Ubuntu 16.04. С тем же smb.conf, sssd.conf и pam_mount.conf.xml в Ubuntu 17.10 однако, вход в систему иногда работает и иногда не делает! И через GUI и через командную строку, а также ssh.
Действительно печально точно определить ошибку, поскольку это регулярно не происходит и входит в систему с AD учетными данными, иногда работает!
Из того, что я смог собраться из стороны DC, когда Вход в систему на клиентских сбоях Ubuntu 17.10, никакой kerberos билет не требовал клиент от DC.
Поскольку я не слишком знаком с SSSD, Kerberos и PAM, я задавался вопросом, пропускал ли я некоторые новые разработки в этих пакетах, которые делают дополнительную конфигурацию необходимой?
Где я мог начать точно определять проблему?
Ошибка в sssd_pam.log:
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dom_forwarder] (0x0100): pam_dp_send_req returned 0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sss_dp_req_destructor] (0x0400): Deleting request: [0x5653aba02710:3:username@domain.name@domain.name]
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [sbus_remove_timeout] (0x2000): 0x5653abdb83b0
(Thu Nov 2 18:57:00 2017) [sssd[pam]] [pam_dp_process_reply] (0x0200): received: [4 (System error)][domain.name]
sssd.conf похож на это:
[sssd]
config_file_version = 2
services = nss,pam
domains = domain.name
[nss]
[pam]
debug_level = 8
[domain/domain.name]
debug_level = 8
id_provider = ad
access_provider = ad
auth_provider = ad
enumerate = true
cache_credentials = false
case_sensitive = false
override_homedir = /home/%u
default_shell = /bin/bash
create_homedir = true
remove_homedir = true
krb5.conf как это:
[libdefaults]
default_realm = DOMAIN.NAME
ticket_lifetime = 24h
renew_lifetime = 7d
[realms]
CYANOLAB = {
kdc = server1.domain.name
kdc = server2.domain.name
admin_server = server1.domain.name
}
И smb.conf как это:
[global]
workgroup = DOMAIN
client signing = yes
client use spnego = yes
realm = domain.name
security = ads
kerberos method = secrets and keytab
Что я попробовал до сих пор:
- Включенный
cache_credentialsв конфигурации SSSD. - Переустановленный вся система.
- Игравший с общим -* файлы.
- Перезапущенный все сервисы (smbd, sssd, объединяясь в сеть) вручную.
Все ни к какому успеху.
Я действительно, был бы очень признателен за любые подсказки, которые могли указать на меня в правильном направлении к решению этого таинственного (по крайней мере, мне) проблема.