Ошибка Linux Samba и Windows AD 2019 — domain password server not available

Олег

  • 29 августа 2022
Linux 2

Есть домен Windows на контроллерах с операционной системой Windows Server 2012 R2. В домене есть настроенный сервер Samba на Ubuntu 18 с доменной аутентификацией. Пользователи Windows заходят под своими учётными записями на шары Samba-сервера. Всё работает.

Samba на Ubuntu Server в домене Windows

Подняли новый контроллер домена на Windows Server 2019 и столкнулись с ошибкой. При аутентификации через новый контроллер домена Samba не пускает. В syslog ошибка:

Aug 22 18:43:34 bck01 smbd[26898]: [2022/08/22 18:43:34.456180,  0] ../source3/auth/auth_domain.c:185(domain_client_validate)
Aug 22 18:43:34 bck01 smbd[26898]:   domain_client_validate: Domain password server not available.

samba

В логах самбы ещё много разных ошибок:

SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
...
domain_client_validate: Domain password server not available.
...
check_ntlm_password:  Authentication for user [v.pupkin] -> [v.pupkin] FAILED with error NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE, authoritative=1
...
Auth: [SMB2,(null)] user [ILAB]\[v.pupkin] at [Tue, 23 Aug 2022 11:43:50.615792 MSK] with [NTLMv2] status [NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE] workstation [PUPKIN-V] remote host [ipv4:10.10.10.10:19721] mapped to [ILAB]
\[v.pupkin]. local host [ipv4:10.10.10.11:445]
...
SPNEGO login failed: NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE

Решение

Не буду рассказывать как искали причину ошибки. Правили обратные зоны DNS, проверяли настройки, вышли вот на эту настройку безопасности контроллера домена Windows Server 2019. Открываем редактор локальных групповых политик контроллера домена:

gpedit.msc

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options.

samba

Находим опцию:

  • Network access: Named Pipes that can be accessed anonymously

И в ней ничего не было прописано. И это странно, потому как в документации Microsoft: "Default Domain Controller Policy: Netlogon, samr, lsarpc". Ну не знаю, или мы криво контроллер накатили, или в политике Windows Server 2019 эта опция уже не установлена, или ИБ отдел по умолчанию всё закрыл...

Устанаваливаю значение:

netlogon
samr
lsarpc

samba

Samba заработала.

Теги

💰 Поддержать проект

 

Похожие материалы

Visual Studio Code

Олег

Visual Studio Code
Visual Studio Code — кроссплатформенный открытый редактор кода, разработанный компанией Microsoft. Бесплатный. Доступен для различных платформ: Windows 7, 8, 10; Debian, Ubuntu; Red Hat, Fedora, SUSE; macOS 10.9+.

Теги

Windows Terminal — больше чем терминал

Олег

Windows Terminal cmd
Windows Terminal — терминальное приложение в Windows 10 для разработчиков и системных администраторов. Инструмент позволяет в одном окне в режиме вкладок запускать различные оболочки командной строки, PowerShell и WSL. В одной вкладке может отображаться несколько панелей.

Теги

Putty — SOCKS5 прокси через SSH-туннель

Олег

SSH
Однажды один из IP адресов на работе попал в SORBS SPAM. IP адрес можно выкинуть из спам листа, если зайти на сайт sorbs.net именно с этого IP адреса. Но у меня на компе другой внешний IP адрес, а на почтовике с нужным IP стоит linux и нет возможности запустить браузер. Сделаем с помощью putty SSH туннель. 

Теги

Почитать