Файловый сервер на Ubuntu 18.04.5 - wbinfo не выдает список пользователей домена

[garett]

Добрый день, коллеги! Собрал тут сервер файловый для интеграции с AD, в домен ввел, проверил  sudo realm list:

Код: [Выделить]

domain.ru
  type: kerberos
  realm-name: DOMAIN.RU
  domain-name: domain.ru
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: winbind
  required-package: libpam-winbind
  required-package: samba-common-bin
  login-formats: %U
  login-policy: allow-any-login
domain.ru
  type: kerberos
  realm-name: DOMAIN.RU
  domain-name: domain.ru
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U@domain.ru
  login-policy: allow-realm-logins
Могу увидеть учетки в домене:

Код: [Выделить]

id user@DOMAIN.RU
uid=483001135(user@domain.ru) gid=483000513(domain users@domain.ru) groups=483000513(domain users@domain.ru)
Но вот при попытке wbinfo:

Код: [Выделить]

sudo wbinfo -u
Error looking up domain users

Код: [Выделить]

sudo wbinfo -t
checking the trust secret for domain  via RPC calls failed
wbcCheckTrustCredentials(DOMAIN): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
При этом 

Код: [Выделить]

sudo wbinfo -p
Ping to winbindd succeeded
Где и в чем ошибка может быть? Заранее благодарен за помощь.

[AnrDaemon]

Ошибка может быть в имени домена. Ошибка может быть в настройке krb5.conf.
Пишите реальные данные. Не играйте в шпионов.

[garett]

Хорошо, реальные данные:

sudo realm list
[sudo] password for garett:

Код: [Выделить]

ztsm.ru
  type: kerberos
  realm-name: ZTSM.RU
  domain-name: ztsm.ru
  configured: kerberos-member
  server-software: active-directory
  client-software: winbind
  required-package: winbind
  required-package: libpam-winbind
  required-package: samba-common-bin
  login-formats: %U
  login-policy: allow-any-login
ztsm.ru
  type: kerberos
  realm-name: ZTSM.RU
  domain-name: ztsm.ru
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U@ztsm.ru
  login-policy: allow-realm-logins
-----------------------
 cat /etc/krb5.conf

Код: [Выделить]

[libdefaults]
        default_realm = ZTSM.RU

# The following krb5.conf variables are only for MIT Kerberos.
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
#########to integrate with Windows domain##########
        rdns = false
###################################################

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# The only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#       default_tgs_enctypes = des3-hmac-sha1
#       default_tkt_enctypes = des3-hmac-sha1
#       permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
        fcc-mit-ticketflags = true

[realms]
        ATHENA.MIT.EDU = {
                kdc = kerberos.mit.edu
                kdc = kerberos-1.mit.edu
                kdc = kerberos-2.mit.edu:88
                admin_server = kerberos.mit.edu
                default_domain = mit.edu
        }
        ZONE.MIT.EDU = {
                kdc = casio.mit.edu
                kdc = seiko.mit.edu
                admin_server = casio.mit.edu
        }
        CSAIL.MIT.EDU = {
                admin_server = kerberos.csail.mit.edu
                default_domain = csail.mit.edu
        }
        IHTFP.ORG = {
                kdc = kerberos.ihtfp.org
                admin_server = kerberos.ihtfp.org
        }
        1TS.ORG = {
                kdc = kerberos.1ts.org
                admin_server = kerberos.1ts.org
        }
        ANDREW.CMU.EDU = {
                admin_server = kerberos.andrew.cmu.edu
                default_domain = andrew.cmu.edu
        }
        CS.CMU.EDU = {
                kdc = kerberos-1.srv.cs.cmu.edu
                kdc = kerberos-2.srv.cs.cmu.edu
                kdc = kerberos-3.srv.cs.cmu.edu
                admin_server = kerberos.cs.cmu.edu
        }
        DEMENTIA.ORG = {
                kdc = kerberos.dementix.org
                kdc = kerberos2.dementix.org
                admin_server = kerberos.dementix.org
        }
        stanford.edu = {
                kdc = krb5auth1.stanford.edu
                kdc = krb5auth2.stanford.edu
                kdc = krb5auth3.stanford.edu
                master_kdc = krb5auth1.stanford.edu
                admin_server = krb5-admin.stanford.edu
                default_domain = stanford.edu
        }
        UTORONTO.CA = {
                kdc = kerberos1.utoronto.ca
                kdc = kerberos2.utoronto.ca
                kdc = kerberos3.utoronto.ca
                admin_server = kerberos1.utoronto.ca
                default_domain = utoronto.ca
        }

[domain_realm]
        .mit.edu = ATHENA.MIT.EDU
        mit.edu = ATHENA.MIT.EDU
        .media.mit.edu = MEDIA-LAB.MIT.EDU
        media.mit.edu = MEDIA-LAB.MIT.EDU
        .csail.mit.edu = CSAIL.MIT.EDU
        csail.mit.edu = CSAIL.MIT.EDU
        .whoi.edu = ATHENA.MIT.EDU
        whoi.edu = ATHENA.MIT.EDU
        .stanford.edu = stanford.edu
        .slac.stanford.edu = SLAC.STANFORD.EDU
        .toronto.edu = UTORONTO.CA
        .utoronto.ca = UTORONTO.CA

[AnrDaemon]

Код: [Выделить]

$ dig _ldap._tcp.dc._msdcs.ZTSM.RU. SRV(Естественно, нужны bind-utils. Если мозгов их нет, можно обойтись

Код: [Выделить]

nslookup -type=SRV _ldap._tcp.dc._msdcs.ZTSM.RU. но полезной информации будет в разы меньше.)

[garett]

Код: [Выделить]

dig _ldap._tcp.dc._msdcs.ZTSM.RU. SRV

; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> _ldap._tcp.dc._msdcs.ZTSM.RU. SRV
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 54506
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: f6629215835316ae (echoed)
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.ZTSM.RU.  IN      SRV

;; Query time: 0 msec
;; SERVER: 192.168.0.10#53(192.168.0.10)
;; WHEN: Mon Oct 26 11:31:30 MSK 2020
;; MSG SIZE  rcvd: 69

Код: [Выделить]

garett@smb:~$ nslookup -type=SRV _ldap._tcp.dc._msdcs.ZTSM.RU.
Server:         192.168.0.10
Address:        192.168.0.10#53

_ldap._tcp.dc._msdcs.ZTSM.RU    service = 0 100 389 dc.ztsm.ru.
Я настроил DNS для этого сервера - в моем случае это DC. Так нужно ставить bind-utils или нет?

P.S. Часовой пояс правильный (если это имеет значение для данной проблемы):

Код: [Выделить]

timedatectl
                      Local time: Mon 2020-10-26 11:33:51 MSK
                  Universal time: Mon 2020-10-26 08:33:51 UTC
                        RTC time: Mon 2020-10-26 08:33:52
                       Time zone: Europe/Moscow (MSK, +0300)
       System clock synchronized: yes
systemd-timesyncd.service active: yes
                 RTC in local TZ: no


Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью тегов [spoiler]...[/spoiler] или [code]...[/code], либо прикреплять к сообщению в виде отдельного файла. Длинные гиперссылки следует оформлять при помощи тега [url=]...[/url]

+5%
 --Aleksandru

[AnrDaemon]

Я настроил DNS для этого сервера - в моем случае это DC.

Минуту, а почему вы вообще wbinfo запускаете, если биндили через sssd ?
Что помешало использовать winbindd ?

[garett]

Да вообще я раньше подобного не сооружал, поэтому строго по мануалу делал.
Пользователь добавил сообщение 27 Октября 2020, 11:19:04:Так все же - как мне получить список пользователей домена при указанных настройках? Конечная цель - мне нужен файловый сервер с расшаренными папками, для которых я смогу указать права на уровне пользователей домена. Заранее благодарен.

[AnrDaemon]

Что говорит

Код: [Выделить]

sudo net ads testjoin?

[garett]

 sudo net ads testjoin
Enter SMB$@ZTSM.RU's password:
kerberos_kinit_password SMB$@ZTSM.RU failed: Preauthentication failed
Join to domain is not valid: The attempted logon is invalid. This is either due to a bad username or authentication information.

Недопонял, что это за учетка автоматически подставляется - такой учетки (SMB) в домене просто нет и быть не должно.

[AnrDaemon]

Это внутренний Kerberos аккаунт.
Вы вообще

Код: [Выделить]

net ads join ZTSM.RU делали?

[garett]

Нет. Я настроил DNS, указав DNS контроллера домена, настроил NTP, также указав на DC. Поправил timezone, отредактировал /etc/hosts, а потом выполнил sudo realm join -U Administrator ztsm.ru

[AnrDaemon]

А при чём тут Kerberos? Я про Самбу спрашиваю, вы же её тестируете.

[garett]

Я что-то запутался - давайте сначала. Я установил следующие пакеты:
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

Действовал согласно вот этому мануалу: https://computingforgeeks.com/join-ubuntu-debian-to-active-directory-ad-domain/

Я просто хочу понять, есть ли подробная конкретная инструкция по созданию файлового сервера на Ubuntu с последующей его интеграцией в Active Directory? Или это магия и волшебство и нужно угадывать, что и в каком порядке нужно было установить?

[AnrDaemon]

Почему все пытаются пойти самым сложным и [цензурнутым] путём?…

Для включения сервера в действующую AD достаточно одной самбы. ОДНОЙ САМБЫ, КАРЛ!!!!

Код: [Выделить]

# apt-get install samba cifs-utils krb5-user libnss-winbind libpam-winbind smbclient samba-dsdb-modules samba-vfs-modules ldb-tools
# ./samba-prep.sh --realm=ZTSM.RU -- ZTSM
# cp -vT nsswitch.conf /etc/nsswitch.conf
# cp -vT krb5.conf /etc/krb5.conf
# cp -vT smb.conf /etc/samba/smb.conf
# systemctl stop nmbd smbd winbind
# эрэм эрэф /var/lib/samba/private/*
# net ads join -U Administrator
# reboot & exit

Скрипты и шаблоны https://github.com/AnrDaemon/samba4-ads/tree/master/root/samba-ads

Конкретно https://github.com/AnrDaemon/samba4-ads/blob/master/root/samba-ads/smb.conf.tpl вам придётся поправить под себя - вбить свои диапазоны резервных ID как минимум.

[garett]

./samba-prep.sh --realm=ZTSM.RU -- ZTSM

скачал ту папку по ссылке, samba-ads, положил в корень, сделал chmod +x для скрипта samba-prep.sh, запускаю, выдает сразу:
./samba-prep.sh: line 6: syntax error near unexpected token `newline'
./samba-prep.sh: line 6: `<!DOCTYPE html>'