[Linux-ivv4] Rocky Linux - AD Domain

[Oliver Koch]

Hallo allerseits,

ich habe aktuell gerade Probleme, einen Rechner mit einer frischen 
Rocky-Linux 8.6 Installation an der AD Domain anzuschliessen. Mit einem 
anderen Rechner hatte das vor einiger Zeit problemlos funktioniert.

Ich hatte den neuinstallieren Rechner mittels der Centos8 Beschreibung 
auf der IVV Homepage erfolgreich angebunden. Aber leider hat die 
User-Erkennung nicht funktioniert. In den Logs stand etwas von "SSSD is 
offline".

Um auszuschliessen das beim Join etwas schief gegangen ist, wollte ich 
die Prozedur wiederholen. Ich habe den Rechner mittels "realm leave 
nwz.wwu.de" getrennt und wollte wieder beitreten. Um sicherzugehen, 
hatte ich den Rechner auch im "Pre-Staging" wieder gelöscht und neu 
angelegt.

Jetzt schlägt aber der Beitritt vollkommen fehl:
 > realm join -U <meinadminusername> nwz.wwu.de
See: journalctl REALMD_OPERATION=r91301.54220
realm: Couldn't join realm: Insufficient permissions to join the domain
Please check
     https://red.ht/support_rhel_ad
to get help for common issues.

 >journalctl REALMD_OPERATION=r91301.54220

-- Logs begin at Tue 2022-06-28 15:31:58 CEST, end at Wed 2022-06-29 
16:57:14 CEST. --
Jun 29 16:55:07 pz-koch01 realmd[54223]:  * Resolving: _ldap._tcp.nwz.wwu.de
Jun 29 16:55:07 pz-koch01 realmd[54223]:  * Performing LDAP DSE lookup 
on: 10.0.10.75
Jun 29 16:55:07 pz-koch01 realmd[54223]:  * Performing LDAP DSE lookup 
on: 10.0.10.131
Jun 29 16:55:07 pz-koch01 realmd[54223]:  * Performing LDAP DSE lookup 
on: 10.4.3.148
Jun 29 16:55:07 pz-koch01 realmd[54223]:  * Successfully discovered: 
nwz.wwu.de
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Required files: 
/usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, 
/usr/sbin/adcli
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * LANG=C /usr/sbin/adcli join 
--verbose --domain nwz.wwu.de --domain-realm NWZ.WWU.DE 
--domain-controller 10.0.10.75 --login-type user --login-user 
<meinadminusername> --stdin-password
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Using domain name: nwz.wwu.de
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Calculated computer account 
name from fqdn: PZ-KOCH01
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Using domain realm: nwz.wwu.de
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Sending NetLogon ping to 
domain controller: 10.0.10.75
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Received NetLogon info from: 
NWZDC03.nwz.wwu.de
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Wrote out krb5.conf snippet 
to /var/cache/realmd/adcli-krb5-w31z3E/krb5.d/adcli-krb5-conf-Hd0lAG
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Authenticated as user: 
<meinadminusername>@NWZ.WWU.DE
Jun 29 16:55:12 pz-koch01 realmd[54223]:  * Using GSS-SPNEGO for SASL bind
Jun 29 16:55:12 pz-koch01 realmd[54223]:  ! Couldn't authenticate to 
active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified 
GSS failure.  Minor code may provide more information
  (KDC has no support for encryption type)
Jun 29 16:55:12 pz-koch01 realmd[54223]: adcli: couldn't connect to 
nwz.wwu.de domain: Couldn't authenticate to active directory: SASL(-1): 
generic failure: GSSAPI Error: Unspecified GSS failur
e.  Minor code may provide more information (KDC has no support for 
encryption type)
Jun 29 16:55:12 pz-koch01 realmd[54223]: Please check
Jun 29 16:55:12 pz-koch01 realmd[54223]: https://red.ht/support_rhel_ad
Jun 29 16:55:12 pz-koch01 realmd[54223]: to get help for common issues.
Jun 29 16:55:12 pz-koch01 realmd[54223]:  ! Insufficient permissions to 
join the domain

-- Mit <meinadminusername> habe ich meine richtigen Usernamen ersetzt...

Sind da Probleme bekannt? Muss ich noch mehr ändern, wenn ich eine 
Rechner aus dem AD entferne und wieder anmelden will?

Vielen Dank für Eure Hilfe.

Viele Grüße
Oliver Koch

-- 
Prof. Dr. Oliver Koch
Heisenberg-Professor of Computational Drug Discovery
==== Computational Medicinal Chemistry and AI ====

Westfälische Wilhelms-Universität Münster
Institute of Pharmaceutical and Medicinal Chemistry
and German Center for Infection Research
  
Homepage: www.agkoch.de
E-Mail: oliver.koch at uni-muenster.de