Проблема

Ошибки при установке доверительных отношений.

Диагностика

  • Настройка доверительных отношений согласно инструкции, пункт "Настройка и проверка перенаправления DNS", на этапе "Проверка № 4, работоспособность службы Samba" заканчивается ошибкой вида:

    admin@srv-dc:/root$ kinit admin
Password for admin@FREE.IPA:
admin@srv-dc/root$ sudo kvno cifs/srv-dc.free.ipa@FREE.IPA
cifs/srv-dc.free.ipa@FREE.IPA: kvno = 1
admin@srv-dc:/root$ sudo smbclient -k -L srv-dc.free.ipa
lp_load_ex: changing to config backend registry
session setup failed: NT_STATUS_ACCESS_DENIED

Возможная причина: Авторизация произведена под пользователем root. Перейти к решению.

  • Выполнить последовательность действий:
    1. Настроить в AD сетевую папку и доступ пользователю AD. 
    2. Зайти под учетной записью пользователя AD. 
    3. Подключить сетевую папку AD через Меню Пуск" — Менеджер файлов — Сеть — Создать сетевое место
    4. Зайти в сетевую папку.

Результатом будет медленная реакция интерфейса после щелчка мышкой по папке в Менеджере файлов.

Возможная причина: Доступ к сетевой папке большого числа пользователей. Перейти к решению.

  • Установка доверительных отношений командой:

    sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password --two-way=true --external=true

    или:

    sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password

    завершается ошибкой вида:

    CIFS server communication error: code "3221225581", message "The attemted logon is invalid. This is either due to a bad username or authentication information." (both may be "None")

Возможная причина: Недостаточно прав у учетной записи администратора AD. Перейти к решению.

  • Выполнить команду в терминале (<Alt+T>):

    sudo ipa trust-add

    Проверить в выводе наличие сообщения:

    Cannot find specified domain or server name

Возможная причина: Некорректно настроен DNS на хосте. Перейти к решению.

  • В домене FreeIPA под пользователем AD выполнить команду:

    id имя_доменного_пользователя

    и убедиться, что команда выполняется долго.

Возможная причина: Некорректные конфигурационные файлы. Перейти к решению.

  • Проверить файл журнала /var/log/sssd/sssd.log на наличие сообщения вида:

    [fo_set_port_status] (0x0100): Marking port 0 of server 'ipa-orel.free.ipa' as 'not working'

Возможная причина: Рассинхронизация времени между доменами. Перейти к решению.

  • Выполнить команду под учетной записью доменного администратора:

    getent passwd <Пользователь_AD>

    Если пользователь AD отобразится корректно, синхронизировать время контроллеров доменов FreeIPA с AD. 

Возможная причина: Рассинхронизация времени между контроллерами доменов. Перейти к решению.

  • Проверить при установке доверительных отношений с доменом AD с помощью команды:

    sudo ipa trust-add --type=ad ad.domain --admin Администратор –password

    наличие сообщения вида:

    Пароль от администратора домена Active Directory:
ipa: ERROR: произошла внутренняя ошибка

Возможная причина: Символы кириллицы в имени учетной записи администратора домена AD. Перейти к решению.

  • Проверить при установке двусторонних доверительных отношений:

    ipa trust-add --type=ad win.lan --two-way=true --admin=Administrator --password

     наличие сообщения вида:

    ipa: ERROR: AD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issue

Возможная причина: Совпадение имен контроллеров доменов AD и FreeIPA. Перейти к решению.

  • Выполнить команду:

    ipa trust-add

    и проверить в выводе наличие сообщения вида:

    ipa: ERROR: CIFS server communication error: code "3221225506", message "
{Access Denied}

Возможная причина: Требуется свежий билет. Перейти к решению.

Возможные причины