1 votes

ribeto avatar

Impossible de rejoindre le royaume : Permissions insuffisantes pour rejoindre le domaine

Demandé el 11 de Avril, 2020
Quand la question a-t-elle été
12455 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'obtiens l'erreur suivante lorsque j'essaie de joindre la machine linux à AD :

$ realm join proxmox.local --computer-ou="CN=TEST,CN=Computers,DC=proxmox" --verbose

* Resolving: _ldap._tcp.proxmox.local
 * Resolving: proxmox.local
 * Performing LDAP DSE lookup on: 192.168.1.131
 * Successfully discovered: proxmox.local
Password for Administrator: 
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
 * LANG=C /usr/sbin/adcli join --verbose --domain proxmox.local --domain-realm PROXMOX.LOCAL --domain-controller 192.168.1.131 --computer-ou CN=TEST,CN=Computers,DC=proxmox --login-type user --login-user Administrator --stdin-password
 * Using domain name: proxmox.local
 * Calculated computer account name from fqdn: TEST
 * Using domain realm: proxmox.local
 * Sending netlogon pings to domain controller: cldap://192.168.1.131
 * Received NetLogon info from: windows.proxmox.local
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-BihhIw/krb5.d/adcli-krb5-conf-PZ0Ypc
 * Authenticated as user: Administrator@PROXMOX.LOCAL
 ! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
adcli: couldn't connect to proxmox.local domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
 ! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain

Mon krb5.conf :

# Configuration snippets may be placed in this directory as well
includedir /etc/krb5.conf.d/

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = false
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 # default_realm = PROXMOX.LOCAL 
 forwardable = true 
 default_tgs_enctypes = rc4-hmac des3-hmac-sha1 arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
 default_tkt_enctypes = rc4-hmac des3-hmac-sha1 arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc
 permitted_enctypes = rc4-hmac des3-hmac-sha1 arcfour-hmac des-hmac-sha1 des-cbc-md5 des-cbc-crc

[realms]
 PROXMOX.LOCAL = {
   kdc = proxmox.local
   admin_server = proxmox.local
  }

[domain_realm]
 .proxmox.local = PROXMOX.LOCAL
 proxmox.local = PROXMOX.LOCAL

Le message d'erreur n'a pas de sens parce que j'utilise le compte Administrateur et qu'il dispose de tous les privilèges. Y a-t-il un moyen de déboguer ce problème ?

Demandé el 11 de Avril, 2020 par ribeto

Réponse

Trop de publicités?

2voto

38fuenf avatar
38fuenf Points 11

J'ai eu ce problème sur un domaine domestique configuré avec Ubuntu 20.04 (les deux serveurs avec le contrôleur de domaine sur samba et tous les membres du domaine). La solution s'est avérée très simple. Avant de pouvoir joindre le domaine avec succès, vous devez modifier le fichier /etc/hosts pour faire correspondre l'adresse IP à l'hôte ou aux hôtes du contrôleur de domaine. Vous pouvez supprimer ces entrées après avoir réussi à rejoindre le domaine, car le nouveau membre du domaine utilisera alors les DNS du domaine, mais avant cela, je pense que c'est un peu perdu. Pour moi, ces entrées ressemblent à ceci :

192.168.1.10 primarydc.mydomain.com primarydc
192.168.1.10 primarykrb.mydomain.com primarykrb
Répondu el 1 de Novembre, 2020 par 38fuenf (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X