web-dev-qa-db-ja.com

winbindd:kinitは成功しましたが、ads_sasl_spnego_krb5_bindは失敗しました:要求されたレルムのKDCに接続できません

Active Directoryに参加しているSambaマシンへの ログインが遅い理由を探している間 ログファイルに次のエラーがある可能性があるという強い印象を持っていますヒント。

Apr  3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820,  0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
Apr  3 14:44:14 eu2 winbindd[19632]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

接続ごとにこれらのエントリが約5〜20あり、問題がどこにあるかを理解しようとしています。何日も検索した後、私が来ることができる最も近いものは 別のSF質問 であり、DNSの問題の可能性を示唆しています。

事実:

1/kinitが機能し、チケットを受け取りました

root@eu2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email protected]

Valid starting       Expires              Service principal
04/03/2014 13:55:24  04/03/2014 23:55:24  krbtgt/[email protected]
        renew until 04/04/2014 13:55:19

2//etc/krb.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

この構成は、 SambaおよびActive Directory Wiki から取得されます。

3/DNSが機能していることを確認しました(上記のwikiを引用するため):

root@eu2:~# Host -t srv _kerberos._tcp.DOMAIN.EXAMPLE.COM
;; Truncated, retrying in TCP mode.
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server1.etc.etc...
_kerberos._tcp.DOMAIN.EXAMPLE.COM has SRV record 0 100 88 server2.etc.etc...
(...)

4/winbindバージョンは4.1.6-Debian

5 /認証されたアクセスを必要とするマシンの共有の閲覧は迅速で、エラーログを生成しません。ログインします。多分これはPAMの問題ですか?

ログのエラーメッセージが何を意味するのか、そして典型的な根本原因は何でしょうか?

2
WoJ

Avahi-daemonを削除すると、私のマシンの問題が修正されます。

私はここで解決策を見つけました: https://lists.samba.org/archive/samba/2013-January/171069.html

1
Sven Bunge

_msdcsサブドメインのSRVエントリも確認できますか?

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetworkBrowsing.html#adsdnstech

0
r0b0