SambaADClient и клонирование диска: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
 
(не показаны 2 промежуточные версии этого же участника)
Строка 1: Строка 1:
{{stub}}
В данной статье мы опишем одну проблему которая возникла у одного из пользователя и ее решение, чтобы в будущем, если кто с ней столкнется, у него было легче ее решить.
В данной статье мы опишем одну проблему которая возникла у одного из пользователя и ее решение, чтобы в будущем, если кто с ней столкнется, у него было легче ее решить.
==Проблема==
==Проблема==
Строка 12: Строка 11:
Вывод-ввод из домена-в домен, обновление не помогают, проблема не на одном компьютере, а на всех, на которых развернут образ.
Вывод-ввод из домена-в домен, обновление не помогают, проблема не на одном компьютере, а на всех, на которых развернут образ.
==Что делать?==
==Что делать?==
Всё дело в файле '''/etc/krb5.keytab'''
Смотрим логи:
# journalctl -b
Если в них ошибка вида:
krb5_child[8112]: Cannot decrypt ticket for restrictedkrbhost/inv78683.standart.krsn.ru
то проблема в билете (ticket), за который отвечает файл /etc/krb5.keytab.
 
{{Note|Keytab-файл - это файл содержащий пары Kerberos принципалов и их ключей (полученных с использованием Kerberos пароля). Эти файлы используются для аутентификации в системах, использующих Kerberos, без ввода пароля.}}
{{Note|Keytab-файл - это файл содержащий пары Kerberos принципалов и их ключей (полученных с использованием Kerberos пароля). Эти файлы используются для аутентификации в системах, использующих Kerberos, без ввода пароля.}}
Когда Вы выводите компьютер из домена, он не удаляется.
Когда Вы выводите компьютер из домена, он не удаляется.
Строка 21: Строка 25:
  # rm /etc/krb5.keytab
  # rm /etc/krb5.keytab
  # kinit %username%
  # kinit %username%
{{Note|Здесь вместо %username% укажите админа и адрес домена вида - admin@gitmo.ru}}
Чтобы просмотреть билет:
Чтобы просмотреть билет:
  $ klist
  $ klist

Текущая версия от 12:27, 9 августа 2024

В данной статье мы опишем одну проблему которая возникла у одного из пользователя и ее решение, чтобы в будущем, если кто с ней столкнется, у него было легче ее решить.

Проблема

Рассмотрим такой пример.

У Вас сеть с AD на MS Windows Server 2008/12/16 и клиенты на ALT Linux Workstation P8/9.

Вы, в организации настраиваете компьютер следующим образом: ставите ОС, ставите ПО, вводите в домен. Потом с помощью Acronis или его аналогов создаете образ, разворачиваете его на другой машине и... в AD-пользователя невозможно войти. Выдает ошибку - неверный логин пароль.

При этом, войдя под локальным пользователем, диагностика сети проходит успешно: пинги до контроллера домена проходят, доступ в интернет есть...

Вывод-ввод из домена-в домен, обновление не помогают, проблема не на одном компьютере, а на всех, на которых развернут образ.

Что делать?

Смотрим логи:

# journalctl -b

Если в них ошибка вида:

krb5_child[8112]: Cannot decrypt ticket for restrictedkrbhost/inv78683.standart.krsn.ru

то проблема в билете (ticket), за который отвечает файл /etc/krb5.keytab.

Примечание: Keytab-файл - это файл содержащий пары Kerberos принципалов и их ключей (полученных с использованием Kerberos пароля). Эти файлы используются для аутентификации в системах, использующих Kerberos, без ввода пароля.

Когда Вы выводите компьютер из домена, он не удаляется.

Компьютер ввелся в домен, потом был клонирован, был переименован, а билет остался для старого компьютера.

Чтобы переполучить билет для нового компьютера необходимо удалить старый и получить новый, выполните следующие команды:

# rm /etc/krb5.keytab
# kinit %username%
Примечание: Здесь вместо %username% укажите админа и адрес домена вида - admin@gitmo.ru

Чтобы просмотреть билет:

$ klist