Перейти к основному содержанию

Ошибка Linux Samba и Windows AD 2019 — domain password server not available

Linux 2

Есть домен Windows на контроллерах с операционной системой Windows Server 2012 R2. В домене есть настроенный сервер Samba на Ubuntu 18 с доменной аутентификацией. Пользователи Windows заходят под своими учётными записями на шары Samba-сервера. Всё работает.

Samba на Ubuntu Server в домене Windows

Подняли новый контроллер домена на Windows Server 2019 и столкнулись с ошибкой. При аутентификации через новый контроллер домена Samba не пускает. В syslog ошибка:

Aug 22 18:43:34 bck01 smbd[26898]: [2022/08/22 18:43:34.456180,  0] ../source3/auth/auth_domain.c:185(domain_client_validate)
Aug 22 18:43:34 bck01 smbd[26898]:   domain_client_validate: Domain password server not available.

samba

В логах самбы ещё много разных ошибок:

SPNEGO login failed: {Access Denied} A process has requested access to an object but has not been granted those access rights.
...
domain_client_validate: Domain password server not available.
...
check_ntlm_password:  Authentication for user [v.pupkin] -> [v.pupkin] FAILED with error NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE, authoritative=1
...
Auth: [SMB2,(null)] user [ILAB]\[v.pupkin] at [Tue, 23 Aug 2022 11:43:50.615792 MSK] with [NTLMv2] status [NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE] workstation [PUPKIN-V] remote host [ipv4:10.10.10.10:19721] mapped to [ILAB]
\[v.pupkin]. local host [ipv4:10.10.10.11:445]
...
SPNEGO login failed: NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE 

Решение

Не буду рассказывать как искали причину ошибки. Правили обратные зоны DNS, проверяли настройки, вышли вот на эту настройку безопасности контроллера домена Windows Server 2019. Открываем редактор локальных групповых политик контроллера домена:

gpedit.msc

Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options.

samba

Находим опцию:

  • Network access: Named Pipes that can be accessed anonymously

И в ней ничего не было прописано. И это странно, потому как в документации Microsoft: "Default Domain Controller Policy: Netlogon, samr, lsarpc". Ну не знаю, или мы криво контроллер накатили, или в политике Windows Server 2019 эта опция уже не установлена, или ИБ отдел по умолчанию всё закрыл...

Устанаваливаю значение:

netlogon
samr
lsarpc

samba

Samba заработала.

Теги

 

Похожие материалы