SSSD / realmd / adcli: Unterschied zwischen den Versionen

/etc/krb5.smb erstellen:

• Wird (sollte) normal beim DomainJoin erstellt

Manuell erstellen:

Auf dem samba-dc:

samba-tool domain exportkeytab cortexreaver.keytab --principal=CORTEXREAVER$
scp cortexreaver.keytab root@cortexreaver:/etc/krb5.smb

SSSD braucht eine /etc/krb5.smb Keytab, dadrin muss stehen:

cortexreaver /var/log/sssd # klist -kte /etc/krb5.smb 
Keytab name: FILE:/etc/krb5.smb
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (aes256-cts-hmac-sha1-96) 
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (aes128-cts-hmac-sha1-96) 
   4 15.09.2022 11:03:48 CORTEXREAVER$@AD.INTERN.DARKREALM.DYNDNS.ORG (DEPRECATED:arcfour-hmac) 

• samba-dnsupdate --verbose --all-names ausführen
• Bei Fehler "tkey is unacceptable*:
• Rechte von /var/lib/samba/private/dns.keytab prüfen, BIND braucht Leserechte darauf

Workaround: explizit dyndns_server = samba-dc.ad.intern.darkrelam.dyndns.org in sssd.conf angeben. SSSD versucht zwar immer noch über den auto-discovered realm zu gehen, nimmt dann aber im Anschluss den dyndns_server-Eintrag.

Befehl um Logeinträge zu überprüfen:

cat /var/log/sssd/sssd_AD.INTERN.DARKREALM.DYNDNS.ORG.log | grep nsupdate -A10

SSSD versucht über adcli das Maschinenpasswort zu updaten. Dies schlägt jedoch mit einem permission denied auf die /tmp/adcli-krb5-XXXXX/krb5.conf fehl. Workaround: adcli deinstallieren. Fehlerbehebung: adcli patchen so dass adcli umask 0700 und nicht 0600 nimmt.

Befehl um Logeinträge zu prüfen:

cat /var/lib/sssd/sssd_AD.INTERN.DARKREALM.DYNDNS.ORG.log  | grep adcli -A5