Почему SAMBA вываливается из домена?

Добрый день.
Прошу помочь с диагностикой проблемы. SAMBA 4.4.5 с периодичностью в неделю вываливается из Microsoft домена.
net ads testjoin
kerberos_kinit_password FILESERVER@MYAD.RU failed: Preauthentication failed
kerberos_kinit_password FILESERVER@MYAD.RU failed: Preauthentication failed
Join to domain is not valid: Logon failure


Сейчас справляюсь только так:
net ads join -U administrator
Enter administrator's password:
Using short domain name -- MYAD
Joined 'FILESERVER' to dns domain 'myad.ru'

net ads testjoin
Join is OK


Подскажите, как это траблшутить, в какой момент и какой лог просматривать?

ОС FreeBSD 10.3
smb4.conf
# Global parameters
[global]
        log level = 2

        server string = Файловый Сервер
        workgroup = MEZON
        realm = MYAD.RU
        netbios name = FILESERVER
        server role = member server
        dns forwarder = 192.168.1.11
        security = ADS
        encrypt passwords = yes

        name resolve order = wins lmhosts hosts bcast
        wins server = 192.168.1.11
        remote announce = 192.168.1.11

        idmap config *:range = 10000-20000

        idmap uid = 10000-20000
        idmap gid = 10000-20000

        winbind nss info = rfc2307
        winbind trusted domains only = no
        winbind use default domain = yes
        winbind enum users  = yes
        winbind enum groups = yes
        winbind refresh tickets = yes
        client ldap sasl wrapping = plain

        unix charset = cp1251
        dos charset = 866

        load printers = no
        printing = bsd
        printcap name = /dev/null
        disable spoolss = yes

        read only = yes
        browseable = yes
        inherit owner = yes
        inherit acls = yes
        inherit permissions = yes
        map acl inherit = yes
        map archive = no
        map readonly = no

        locking = yes
        oplocks = true


        store dos attributes = yes
        acl check permissions = yes
        vfs objects = zfsacl
        nfs4:mode = special
        nfs4:acedup = merge
        nfs4:chown = yes
        guest ok = no
        map to guest = Bad User
        hide dot files = yes

        veto files = /Thumbs.db/
        delete veto files = yes
        hide files = /*.dwl|*.dwl2/

        deadtime = 360
        getwd cache = yes


krb.conf
[libdefaults]
        default_realm = DOMAIN.RU
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
        }

[realms]
        DOMAIN.RU = {
                kdc = DOMAIN.RU
                admin_server = DOMAIN.RU
        }

[domain_realm]
        .domain.ru = DOMAIN.RU
  • Вопрос задан
  • 6577 просмотров
Решения вопроса 1
Zarom
@Zarom Автор вопроса
Выявил проблему по траблшутингу из официальной Вики.
У меня отсутcтвовал/был поврежден файл keytab. Я удалил тот что был.
Добавил в конфигурацию samba:
kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab

После чего выполнил
net ads leave -u Administrator
net ads join -u Administrator

После чего появился файл keytab и SAMBA более не вываливается из домена, исправно обновляя ключи из keytab файла.

Если файл не появляется, рекомендовалось создать его вручную
net ads keytab create -U Administrator
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
SergeySL
@SergeySL
Системный администратор
Раскомментируйте pam_krb5.so в /etc/pam.d/system-auth
Это для RHEL, а вообще неплохо указывать ОС в таких вопросах.
Ответ написан
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Потому что самба такая самба. Это повелось еще с лохматых времен - иногда она ни с того ни с сего выпадает из домена. Можно проверить время на компе и в домене - оно не должно отличаться по-моему больше чем на 5 секунд.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы