SSSD / realmd / adcli: Unterschied zwischen den Versionen

Aus darkrealm Wiki
Zur Navigation springen Zur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
Chris (Diskussion | Beiträge)
520 Bearbeitungen
Chris (Diskussion | Beiträge)
520 Bearbeitungen
Zeile 32: Zeile 32:
* samba-dnsupdate --verbose --all-names ausführen
* samba-dnsupdate --verbose --all-names ausführen
* Bei Fehler "tkey is unacceptable*:
* Bei Fehler "tkey is unacceptable*:
* Rechte von /var/lib/samba/private prüfen, Benutzer *named* braucht Leserechte darauf.
* Rechte von '''/var/lib/samba/private/dns.keytab''' prüfen, BIND braucht Leserechte darauf


=== /etc/krb5.smb ist plötzlich leer ===
=== /etc/krb5.smb ist plötzlich leer ===


SSSD versucht über adcli das Maschinenpasswort zu updaten. Dies schlägt jedoch mit einem '''permission denied''' auf die '''/tmp/adcli-krb5-XXXXX/krb5.conf''' fehl. Workaround: adcli deinstallieren. Fehlerbehebung: adcli patchen so dass adcli umask 0700 und nicht 0600 nimmt.
SSSD versucht über adcli das Maschinenpasswort zu updaten. Dies schlägt jedoch mit einem '''permission denied''' auf die '''/tmp/adcli-krb5-XXXXX/krb5.conf''' fehl. Workaround: adcli deinstallieren. Fehlerbehebung: adcli patchen so dass adcli umask 0700 und nicht 0600 nimmt.

Version vom 15. September 2022, 10:53 Uhr

/etc/krb5.smb erstellen:

  • Wird (sollte) normal beim DomainJoin erstellt

Manuell erstellen:

Auf dem samba-dc: 

samba-tool domain exportkeytab cortexreaver.keytab --principal=CORTEXREAVER$
scp cortexreaver.keytab root@cortexreaver:/etc/krb5.smb

Voraussetzungen

SSSD braucht eine /etc/krb5.smb Keytab, dadrin muss stehen: 

cortexreaver /var/log/sssd # klist -kte /etc/krb5.smb 
Keytab name: FILE:/etc/krb5.smb
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (aes256-cts-hmac-sha1-96) 
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (aes128-cts-hmac-sha1-96) 
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (DEPRECATED:arcfour-hmac)

Fehler

SSSD updated nicht den Dyndns-Eintrag des Hosts

  • samba-dnsupdate --verbose --all-names ausführen
  • Bei Fehler "tkey is unacceptable*:
  • Rechte von /var/lib/samba/private/dns.keytab prüfen, BIND braucht Leserechte darauf

/etc/krb5.smb ist plötzlich leer

SSSD versucht über adcli das Maschinenpasswort zu updaten. Dies schlägt jedoch mit einem permission denied auf die /tmp/adcli-krb5-XXXXX/krb5.conf fehl. Workaround: adcli deinstallieren. Fehlerbehebung: adcli patchen so dass adcli umask 0700 und nicht 0600 nimmt.

Abgerufen von „https://darkrealm-wiki.darkrealm.dyndns.org/index.php?title=SSSD_/_realmd_/_adcli&oldid=648