gpupdate, default realm и все что с этим связано #143
Description
AltLinux Workstation 9.x
Огромное количество вопосов по функционированию gpupdate. Начну с самого начала.
Последние обновления всего. Введен в домен, авторизация работает, билеты получает.
Вхожу доменным юзером, смотрю билет
$ klist
Ticket cache: KEYRING:persistent:215651267:krb_ccache_0AIVo0K
Default principal: *****@*****.LOCAL
Valid starting Expires Service principal
18.08.2021 11:53:39 18.08.2021 21:53:39 krbtgt/*****.LOCAL@*****.LOCAL
renew until 25.08.2021 11:53:39
выдан, все хорошо.
Имя машины ALT-TEST-01L, это и хостнейм и в домен введена пож этим именем
Смотрю, что есть
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 host/alt-test-01l.*****[email protected] (aes256-cts-hmac-sha1-96)
3 host/ALT-TEST-01L@*****.LOCAL (aes256-cts-hmac-sha1-96)
3 host/alt-test-01l.*****.local@*****.LOCAL (aes128-cts-hmac-sha1-96)
3 host/ALT-TEST-01L@*****.LOCAL (aes128-cts-hmac-sha1-96)
3 host/alt-test-01l.*****.local@*****.LOCAL (arcfour-hmac)
3 host/ALT-TEST-01L@*****.LOCAL (arcfour-hmac)
3 ALT-TEST-01L$@*****.LOCAL (aes256-cts-hmac-sha1-96)
3 ALT-TEST-01L$@*****.LOCAL (aes128-cts-hmac-sha1-96)
3 ALT-TEST-01L$@*****.LOCAL (arcfour-hmac)
все замечательно. Идем дальше. Включаем gpupdate
/usr/sbin/gpupdate-setup write enable workstation
Смотрим, что и как работает
$ sudo gpoa --loglevel 0
2021-08-18 11:54:13.213|[D00001]| Произведён запуск GPOA для обновления политик пользователя|{"username": "root", "uid": 0}
2021-08-18 11:54:13.214|[D00002]| Имя пользователя не указано - будет использовано имя владельца процесса|{"username": "root"}
2021-08-18 11:54:13.215|[D00015]| Определено имя пользователя для фронтенда|{"username": "root"}
2021-08-18 11:54:13.216|[D00003]| Инициализация плагинов|{}
2021-08-18 11:54:13.217|[D00004]| Инициализирован плагин ADP|{}
2021-08-18 11:54:13.218|[D00005]| Запущен плагин ADP|{}
2021-08-18 11:54:14.413|[D00018]| Имя домена Active Directory успешно определено при запросе к LDAP|{"domain": "adm72.local"}
2021-08-18 11:54:14.414|[D00009]| Инициализация бэкэнда Samba|{"domain": "*****.local"}
kinit: Configuration file does not specify default realm when parsing name ALT-TEST-01L$
2021-08-18 11:54:14.427|[E00007]| Невозможно инициализировать бэкэнд Samba|{"error": "kinit is not successful"}
не запускается, что-то в сторону default realm.. смотрим /etc/krb5.conf
Он полностью дефолтный, default_realm за коментирован.
$ cat /etc/krb5.conf
includedir /etc/krb5.conf.d/
[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_kdc = true
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
# EXAMPLE.COM = {
# default_domain = example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Пишу свой realm, т.е. правлю 1 строку, получаю
[logging]
# default = FILE:/var/log/krb5libs.log
# kdc = FILE:/var/log/krb5kdc.log
# admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_kdc = true
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
default_realm = *****.LOCAL
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
# EXAMPLE.COM = {
# default_domain = example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Смотрим, что и как работает снова
$ sudo gpoa --loglevel 0
процесс пошел.. вытягиваются гр. политики.. несколько экранов строк, все с виду ок..
немного напрягает в конце строка..
2021-08-18 12:09:45.640|[E00024]| Ошибка во время работы applier для машины|{"applier_name": "ntp", "msg": "'NoneType' object has no attribute 'data'"}
но пока не до нее, пропускаем.
Отключаюсь от машины. Захожу снова. Локально в графике, или через ssh не суть. Авторизация проходит, хотя было пару раз
org.freedesktop.DBus.Error.NoReply: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
идем дальше..
$ klist
klist: Credentials cache keyring 'persistent:215651267:krb_ccache_BcE7JOk' not found
если сильно долго ждать.. минут 5-10, то klist отработает нормально
Если закомментировать обратно в /etc/krb5.conf строку default_realm, сработает сразу.
Если нужен конфиг sssd.conf то вот он
$ sudo cat /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
user = root
domains = *****.LOCAL
services = pam,nss
[nss]
[pam]
[domain/ADM72.LOCAL]
id_provider = ad
auth_provider = ad
chpass_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
ad_server = dc2-*****.*****.local
ad_backup_server = _srv_
cache_credentials = true
debug_level = 2
ad_site = IPС-*****
ad_gpo_map_service = +xrdp-sesman
т.е. либо получать нормально билеты, либо использовать gpupdate. Что я делаю не так?