Debian 8.1-Samba PDC-Kerberos problém

Ston3

Debian 8.1-Samba PDC-Kerberos problém
« kdy: 17. 09. 2015, 15:53:04 »
Zdravím Vás,
nemůžu se už několik dní pohnout z místa a pořád se točím na několika chybách a tak si píšu pro radu a společný debug.
Podle návodu na https://wiki.samba.org/index.php/Samba4/HOWTO jsem začal instalovat Samba server.
napřed Dependencies podle: https://wiki.samba.org/index.php/Operating_system_requirements/Dependencies_-_Libraries_and_programs
Všechno mi jde jako po másle, ale až se dostanu k sekci Testing Kerberos tak na mě vybafne chyba
Kód: [Vybrat]
kinit: Cannot find KDC for realm "SAMDOM.FIRMA.LOCAL" while getting initial credentials
Tady přikládám log z instalace samby.
Kód: [Vybrat]
samba-tool domain provision --option="interfaces=lo eth1" --option="bind interfaces only=yes" --use-rfc2307 --interactive
Realm [FIRMA.LOCAL]: SAMDOM.FIRMA.LOCAL
 Domain [SAMDOM]:
 Server Role (dc, member, standalone) [dc]: dc
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: BIND9_DLZ
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=samdom,DC=firma,DC=local
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Adding DNS accounts
Creating CN=MicrosoftDNS,CN=System,DC=samdom,DC=firma,DC=local
Creating DomainDnsZones and ForestDnsZones partitions
Populating DomainDnsZones and ForestDnsZones partitions
Unable to find group id for BIND,
                set permissions to sam.ldb* files manually
See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Server Role:           active directory domain controller
Hostname:              deb8
NetBIOS Domain:        SAMDOM
DNS Domain:            samdom.firma.local
DOMAIN SID:            S-1-5-21-778185091-676351219-1829584441
Je to v okamžiku kdy jsem zkoušel použít DNS server BIND, ale to bych chtěl řešit až později, zatím bych zůstal u toho SAMBA_INTERNAL.


Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #1 kdy: 17. 09. 2015, 16:09:54 »
Pokud jedeš podle toho zmíněnýho návodu, nezapomněl jsi místo
Kód: [Vybrat]
ln -sf /usr/local/samba/private/krb5.conf /etc/krb5.conf
udělat
Kód: [Vybrat]
ln -sf /var/lib/samba/private/krb5.conf /etc/krb5.conf
?

Případně zkus nahodit obsah /etc/krb5.conf

Disclaimer: je to víc než rok, co jsem sambu 4 naposledy testoval, můžu radit blbě :)

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #2 kdy: 17. 09. 2015, 17:18:08 »
Oproti tomu návodu jsou adresáře některých konfiguráků odlišné(asi jiná distribuce), toho jsem si všiml a vždycky použiju
Kód: [Vybrat]
find / | grep kr5.conftakže obsah konfiguráku /etc/krb5.conf je:
Kód: [Vybrat]
[libdefaults]
        default_realm = SAMDOM.FIRMA.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = true

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #3 kdy: 17. 09. 2015, 17:45:40 »
        dns_lookup_kdc = true
Tohle by mohlo byt ono - říkáš Kerberu, že má KDC hledat v DNS a on ti říká, že KDC nemůže najít. Takže buďto dns_lookup_kdc nastavit na false a dát mu adresu KDC natvrdo, nebo se podívat, kde je chyba v DNS. Pokud se nepletu, měly by se ti správně resolvovat adresy typu _kerberos._udp.firma.local. Máš správně nastavené resolv.conf?


Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #4 kdy: 17. 09. 2015, 19:47:58 »
Prověřil jsem ty DNS záznamy příkazy:
Kód: [Vybrat]
root@deb8:~# samba-tool dns query localhost samdom.firma.local @ ALL -U administrator
Password for [SAMDOM\administrator]:
  Name=, Records=3, Children=0
    SOA: serial=1, refresh=900, retry=600, expire=86400, minttl=3600, ns=deb8.samdom.firma.local., email=hostmaster.samdom.firma.local. (flags=600000f0, serial=1, ttl=3600)
    NS: deb8.samdom.firma.local. (flags=600000f0, serial=1, ttl=900)
    A: 10.0.0.1 (flags=600000f0, serial=1, ttl=900)
  Name=_msdcs, Records=0, Children=0
  Name=_sites, Records=0, Children=1
  Name=_tcp, Records=0, Children=4
  Name=_udp, Records=0, Children=2
  Name=deb8, Records=1, Children=0
    A: 10.0.0.1 (flags=f0, serial=1, ttl=900)
  Name=DomainDnsZones, Records=0, Children=2
  Name=ForestDnsZones, Records=0, Children=2
potom podle návodu
Kód: [Vybrat]
root@deb8:~# host -t SRV _ldap._tcp.samdom.firma.local
_ldap._tcp.samdom.firma.local has SRV record 0 100 389 deb8.samdom.firma.local.
Kód: [Vybrat]
root@deb8:~# host -t SRV _kerberos._udp.samdom.firma.local
_kerberos._udp.samdom.firma.local has SRV record 0 100 88 deb8.samdom.firma.local.

v /etc/resolv.conf je
Kód: [Vybrat]
domain samdom.firma.local
nameserver 10.0.0.1


Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #5 kdy: 17. 09. 2015, 20:01:32 »
tak bohuzel v /etc/resolv.conf se mi vratilo tohle
Kód: [Vybrat]
domain localdomain
search localdomain
nameserver 192.168.153.2
coz je default gw z eth0
nevím proč se to tak děje :(

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #6 kdy: 17. 09. 2015, 20:02:59 »
Hm, tak to je divný. Už si to fakt nepamatuju, co by tam ještě mohlo haprovat a zkoušet to teď nemám čas :(

Každopádně bych ještě zkusil dát mu tam tu konfiguraci fakt natvrdo - zkus do krb5.conf dát všechny záznamy tak, jak jsou tady: http://serverfault.com/questions/555872/kinit-pam-sss-cannot-find-kdc-for-requested-realm-while-getting-initial-crede v tom úvodním dotazu - místo XXXXXXX.LOCAL tam dáš to tvoje SAMDOM.FIRMA.LOCAL

Máš ho totiž nějakej krátkej ;) viz taky https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2572320

Pokud to taky nepomůže, tak by to asi chtělo trochu prošmírovat logy, jestli někde nejsou nějaké detaily.

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #7 kdy: 17. 09. 2015, 20:04:40 »
nevím proč se to tak děje :(
No to dělá DHCP. Musíš si zjistit, jak to v Debianu zařídit, aby ho nepřepisoval.

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #8 kdy: 17. 09. 2015, 20:50:11 »
nevím proč se to tak děje :(
No to dělá DHCP. Musíš si zjistit, jak to v Debianu zařídit, aby ho nepřepisoval.
tak tohle jsem pořešil tady /etc/dhcp/dhclient.conf
dal jsem tam
Kód: [Vybrat]
supersede domain-name "samdom.firma.local";
prepend domain-name-servers 10.0.0.1;
prepend domain-search "samdom.firma.local";
už tam to nastavení zůstává
Díky

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #9 kdy: 17. 09. 2015, 20:58:02 »
Hm, tak to je divný. Už si to fakt nepamatuju, co by tam ještě mohlo haprovat a zkoušet to teď nemám čas :(

Každopádně bych ještě zkusil dát mu tam tu konfiguraci fakt natvrdo - zkus do krb5.conf dát všechny záznamy tak, jak jsou tady: http://serverfault.com/questions/555872/kinit-pam-sss-cannot-find-kdc-for-requested-realm-while-getting-initial-crede v tom úvodním dotazu - místo XXXXXXX.LOCAL tam dáš to tvoje SAMDOM.FIRMA.LOCAL

Máš ho totiž nějakej krátkej ;) viz taky https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2572320

Pokud to taky nepomůže, tak by to asi chtělo trochu prošmírovat logy, jestli někde nejsou nějaké detaily.
Nevím co přesně bych měl doplnit za kdc, admin_server, default_domain
deb8.samdom.firma.local. které to dostalo i DNS záznamu
nebo samdom.firma.local. nebo jenom firma.local. ? a hned řádek po [realms] má být SAMDOM.FIRMA.LOCAL nebo jenom FIRMA.LOCAL?
Asi všechny ty pojmy nechápu :(

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #10 kdy: 17. 09. 2015, 21:00:55 »
ještě doplním stávající stav, který mi ale nefunguje :(
/etc/krb5.conf
Kód: [Vybrat]
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = SAMDOM.FIRMA.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 verify_ap_req_nofail = false

[realms]
 SAMDOM.FIRMA.LOCAL = {
 kdc = SAMDOM.FIRMA.LOCAL
# kdc = ad2.XXXXXXX.local
 admin_server = SAMDOM.FIRMA.LOCAL
 default_domain = FIRMA.LOCAL
}

[domain_realm]
 .firma.local = firma.LOCAL
 firma.local = firma.LOCAL

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #11 kdy: 17. 09. 2015, 21:13:00 »
Nevím co přesně bych měl doplnit za kdc, admin_server, default_domain
deb8.samdom.firma.local. které to dostalo i DNS záznamu
nebo samdom.firma.local. nebo jenom firma.local. ? a hned řádek po [realms] má být SAMDOM.FIRMA.LOCAL nebo jenom FIRMA.LOCAL?
Asi všechny ty pojmy nechápu :(
Máš tam jenom dva pojmy: server a doména. Doména je SAMDOM.FIRMA.LOCAL a server je deb8.samdom.firma.local. Trošku matoucí je to, že DNS názvy je zvykem psát malýma a kerberos realm naopak velkýma, přičemž DNS není case sensitive, ale kerberos je, takže někde na velikosti záleží a někde ne :)

Nicméně bych to viděl asi takhle:
Kód: [Vybrat]
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = SAMDOM.FIRMA.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 verify_ap_req_nofail = false

[realms]
 SAMDOM.FIRMA.LOCAL = {
 kdc = deb8.samdom.firma.local
 admin_server = deb8.samdom.firma.local
 default_domain = samdom.firma.local
}

[domain_realm]
 .samdom.firma.local = SAMDOM.FIRMA.LOCAL
 samdom.firma.local = SAMDOM.FIRMA.LOCAL
[/quote]
...ale jak říkám, fakt jsem to viděl naposledy víc než před rokem, tak si to možná nepamatuju dobře.

Pokud tohle nebude fungovat, tak zkus tu minimální konfiguraci z manuálu (ten druhý odkaz, co jsem dával výš):
Kód: [Vybrat]
[libdefaults]
default_realm = SAMDOM.FIRMA.LOCAL

[realms]
SAMDOM.FIRMA.LOCAL = {
  kdc = deb8.samdom.firma.local
}

[domain_realms]
.samdom.firma.local = SAMDOM.FIRMA.LOCAL

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #12 kdy: 17. 09. 2015, 21:32:37 »
Super tohle už mi funguje, nechápu tedy proč z DNS kde je také záznam deb8.samdom.firma.local to nefunguje :(
Děkuji moc za vysvětlení těch "jenom" dvou pojmů :D

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #13 kdy: 17. 09. 2015, 21:39:23 »
Jo, tak to taky nevím, proč to z DNS nefungovalo. Tak hlavně že už to jede. Nechci strašit, ale tímhle jsi teprve na začátku, zvlášť jestli chceš provozovat AD server pro Windows stanice. To je docela kovbojka, zvlášť po různých updatech a tak... Tak hodně štěstí! :)

Ston3

Re:Debian 8.1-Samba PDC-Kerberos problém
« Odpověď #14 kdy: 17. 09. 2015, 21:46:48 »
No nějak bych se to právěže chtěl naučit ovládat, zatím si to zkouším na virtuálech na svým notebooku, takže v malém měřítku.
Jenže důvod tohoto snažení je, že se mě dotázal jeden správce ve firmě jestli si musí kupovat windows server a všechny ty jejich drahý licence, žeprý četl o nějaké sambě a doméně :D