[Linux-ivv4] Rocky Linux - AD Domain
Oliver Koch
oliver.koch at uni-muenster.de
Mi Jun 29 18:21:01 CEST 2022
Hallo allerseits,
vielen Dank für die Rückmeldungen. Hier der Hinweis von Herrn Adam,
nachdem alles wieder funktioniert hat. Vielleicht ist es von Interesse
in anderen Fällen:
Nach
https://docs.rockylinux.org/guides/security/authentication/active_directory_authentication/
"If this process complains about encryption with KDC has no support for
encryption type, try updating the global crypto policy to allow older
encryption algorithms:
[user at host ~]$ sudo update-crypto-policies --set DEFAULT:AD-SUPPORT"
Der Befehl hat mich im Nachgang aber zum Neustart aufgefordert hat. Und
ich frage mich gerade, ob nach meinem ausgeführten "realm leave
nwz.wwu.de" ein Neustart notwendig gewesen wäre, und das die eigentliche
Problemlösung war. Aber Neustarts bei Problemen kenne ich bisher nur von
Windows, von daher hatte ich da nicht dran gedacht... ;-)
Viele Grüße
Oliver Koch
Am 29.06.2022 um 17:00 schrieb Oliver Koch:
> Hallo allerseits,
>
> ich habe aktuell gerade Probleme, einen Rechner mit einer frischen
> Rocky-Linux 8.6 Installation an der AD Domain anzuschliessen. Mit
> einem anderen Rechner hatte das vor einiger Zeit problemlos funktioniert.
>
> Ich hatte den neuinstallieren Rechner mittels der Centos8 Beschreibung
> auf der IVV Homepage erfolgreich angebunden. Aber leider hat die
> User-Erkennung nicht funktioniert. In den Logs stand etwas von "SSSD
> is offline".
>
> Um auszuschliessen das beim Join etwas schief gegangen ist, wollte ich
> die Prozedur wiederholen. Ich habe den Rechner mittels "realm leave
> nwz.wwu.de" getrennt und wollte wieder beitreten. Um sicherzugehen,
> hatte ich den Rechner auch im "Pre-Staging" wieder gelöscht und neu
> angelegt.
>
> Jetzt schlägt aber der Beitritt vollkommen fehl:
> > realm join -U <meinadminusername> nwz.wwu.de
> See: journalctl REALMD_OPERATION=r91301.54220
> realm: Couldn't join realm: Insufficient permissions to join the domain
> Please check
> https://red.ht/support_rhel_ad
> to get help for common issues.
>
> >journalctl REALMD_OPERATION=r91301.54220
>
> -- Logs begin at Tue 2022-06-28 15:31:58 CEST, end at Wed 2022-06-29
> 16:57:14 CEST. --
> Jun 29 16:55:07 pz-koch01 realmd[54223]: * Resolving:
> _ldap._tcp.nwz.wwu.de
> Jun 29 16:55:07 pz-koch01 realmd[54223]: * Performing LDAP DSE lookup
> on: 10.0.10.75
> Jun 29 16:55:07 pz-koch01 realmd[54223]: * Performing LDAP DSE lookup
> on: 10.0.10.131
> Jun 29 16:55:07 pz-koch01 realmd[54223]: * Performing LDAP DSE lookup
> on: 10.4.3.148
> Jun 29 16:55:07 pz-koch01 realmd[54223]: * Successfully discovered:
> nwz.wwu.de
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Required files:
> /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd,
> /usr/sbin/adcli
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * LANG=C /usr/sbin/adcli
> join --verbose --domain nwz.wwu.de --domain-realm NWZ.WWU.DE
> --domain-controller 10.0.10.75 --login-type user --login-user
> <meinadminusername> --stdin-password
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Using domain name: nwz.wwu.de
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Calculated computer
> account name from fqdn: PZ-KOCH01
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Using domain realm:
> nwz.wwu.de
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Sending NetLogon ping to
> domain controller: 10.0.10.75
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Received NetLogon info
> from: NWZDC03.nwz.wwu.de
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Wrote out krb5.conf
> snippet to
> /var/cache/realmd/adcli-krb5-w31z3E/krb5.d/adcli-krb5-conf-Hd0lAG
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Authenticated as user:
> <meinadminusername>@NWZ.WWU.DE
> Jun 29 16:55:12 pz-koch01 realmd[54223]: * Using GSS-SPNEGO for SASL
> bind
> Jun 29 16:55:12 pz-koch01 realmd[54223]: ! Couldn't authenticate to
> active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified
> GSS failure. Minor code may provide more information
> (KDC has no support for encryption type)
> Jun 29 16:55:12 pz-koch01 realmd[54223]: adcli: couldn't connect to
> nwz.wwu.de domain: Couldn't authenticate to active directory:
> SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failur
> e. Minor code may provide more information (KDC has no support for
> encryption type)
> Jun 29 16:55:12 pz-koch01 realmd[54223]: Please check
> Jun 29 16:55:12 pz-koch01 realmd[54223]: https://red.ht/support_rhel_ad
> Jun 29 16:55:12 pz-koch01 realmd[54223]: to get help for common issues.
> Jun 29 16:55:12 pz-koch01 realmd[54223]: ! Insufficient permissions
> to join the domain
>
> -- Mit <meinadminusername> habe ich meine richtigen Usernamen ersetzt...
>
> Sind da Probleme bekannt? Muss ich noch mehr ändern, wenn ich eine
> Rechner aus dem AD entferne und wieder anmelden will?
>
> Vielen Dank für Eure Hilfe.
>
> Viele Grüße
> Oliver Koch
>
--
Prof. Dr. Oliver Koch
Heisenberg-Professor of Computational Drug Discovery
==== Computational Medicinal Chemistry and AI ====
Westfälische Wilhelms-Universität Münster
Institute of Pharmaceutical and Medicinal Chemistry
and German Center for Infection Research
Homepage: www.agkoch.de
E-Mail: oliver.koch at uni-muenster.de
Mehr Informationen über die Mailingliste Linux-ivv4