Проблема

При установке доверительных отношений возникают ошибки.

Диагностика

  • Настройка доверительных отношений согласно инструкции, пункт "Настройка и проверка перенаправления DNS", на этапе "Проверка № 4, работоспособность службы Samba" заканчивается ошибкой вида:

    admin@srv-dc:/root$ kinit admin
Password for admin@FREE.IPA:
admin@srv-dc/root$ sudo kvno cifs/srv-dc.free.ipa@FREE.IPA
cifs/srv-dc.free.ipa@FREE.IPA: kvno = 1
admin@srv-dc:/root$ sudo smbclient -k -L srv-dc.free.ipa
lp_load_ex: changing to config backend registry
session setup failed: NT_STATUS_ACCESS_DENIED

Возможная причина: Авторизация пользователем root. Перейти к решению.

  • Выполнить последовательность действий:
    1. Настроить в AD сетевую папку и доступ пользователю AD. 
    2. Зайти под учетной записью пользователя AD. 
    3. Подключить сетевую папку AD через Меню "Пуск" — Менеджер файлов — Сеть — Создать сетевое место
    4. Зайти в сетевую папку.

Результатом будет медленная реакция интерфейса после щелчка мышкой по папке в менеджере файлов.

Возможная причина: Доступ к сетевой папке большого числа пользователей. Перейти к решению.

  • Установка доверительных отношений командой:

    sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password --two-way=true --external=true

    или:

    sudo ipa trust-add --type=ad ad.win.loc --admin Administrator --password

    завершается ошибкой вида:

    CIFS server communication error: code "3221225581", message "The attemted logon is invalid. This is either due to a bad username or authentication information." (both may be "None")

Возможная причина: Недостаточно прав у учетной записи администратора AD. Перейти к решению.

  • Выполнить команду:

    sudo ipa trust-add

    и проверить вывод на наличие сообщения вида:

    Cannot find specified domain or server name

Возможная причина: Некорректно настроен DNS на хост-машине. Перейти к решению.

  • Авторизоваться в домене FreeIPA с использованием имени пользователя AD, после чего выполнить команду:

    id <имя_доменного_пользователя>

    Убедиться, что команда выполняется продолжительно время (дольше обычного).

Возможная причина: Некорректные конфигурационные файлы. Перейти к решению.

  • Проверить:

    • в журналах и в статусе службы sssd наличие сообщения вида:

      Unable to initialize STARTTLS session
Can`t contact LDAP server
Failed to get keytab

    • работу поиска пользователей домена.
      При выполнении команды:

      id <пользователь>@<домен>

      выводится сообщение о том, что пользователь не найден.

    • невозможность входа пользователей доверенного домена на реплике и ее клиентах.

Возможная причина: Не настроены доверительные отношения на реплике домена. Перейти к решению.

  • Выполнить команду под учетной записью доменного администратора:

    getent passwd <Пользователь_AD>

Возможная причина: Рассинхронизация времени между КД FreeIPA и AD. Перейти к решению.

  • Проверить при установке доверительных отношений с доменом AD с помощью команды:

    sudo ipa trust-add --type=ad ad.domain --admin Администратор –password

    наличие сообщения вида:

    Пароль от администратора домена Active Directory:
ipa: ERROR: произошла внутренняя ошибка

Возможная причина: Символы кириллицы в имени учетной записи администратора домена AD. Перейти к решению.

  • Проверить при установке двусторонних доверительных отношений:

    ipa trust-add --type=ad win.lan --two-way=true --admin=Administrator --password

     наличие сообщения вида:

    ipa: ERROR: AD DC was unable to reach any IPA domain controller. Most likely it is a DNS or firewall issue

Возможная причина: Совпадение имен контроллеров доменов AD и FreeIPA. Перейти к решению.

  • Выполнить команду:

    ipa trust-add

    и проверить в выводе наличие сообщения вида:

    ipa: ERROR: CIFS server communication error: code "3221225506", message "
{Access Denied}

Возможная причина: Требуется свежий билет. Перейти к решению.

Возможные причины