DCM: krb5.keytab - erst fehlend, jetzt fehlende einträge

Hallo zusammen,

in einer Samba Domäne mit DCM, DCB und DCS hat der DCM zwischenzeitlich offensichtlich seine Karberos Credentials nicht besessen.

In dem log unter /var/log/samba/log.samba finden sich auf dem DCM in den ältesten Einträgen noch folgende Meldungen:

[2013/05/26 06:31:31,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): keytab /etc/krb5.keytab open failed: No such file or directory

Dies wechselte anschließend zu der folgenden Meldung, die aktuell weiterhin besteht:

 GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
[2013/05/27 01:10:43,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)

…und mittlererweile mit auch für die “kvno 3” wiederholt wird.

Die einträge in der secrets.keytab und krb5.keytab zeigen leider auch die gleichen Einträge, weswegen eine Kopie der secrets.keytab nach krb5.keytab auch nichts bringt:

root@dcm:~#ktutil -k /var/lib/samba/private/secrets.keytab list
/var/lib/samba/private/secrets.keytab:

Vno  Type                     Principal                         Aliases
  1  des-cbc-crc              HOST/dcm@dom.LOCAL
  1  des-cbc-crc              HOST/dcm.dom.local@dom.LOCAL
  1  des-cbc-crc              dcm$@dom.LOCAL
  1  des-cbc-md5              HOST/dcm@dom.LOCAL
  1  des-cbc-crc              host/dcm.dom.local@dom.LOCAL
  1  des-cbc-md5              dcm$@dom.LOCAL
  1  arcfour-hmac-md5         HOST/dcm@dom.LOCAL
  1  des-cbc-crc              ldap/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         dcm$@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  HOST/dcm@dom.LOCAL
  1  des-cbc-md5              HOST/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  dcm$@dom.LOCAL
  1  des-cbc-md5              host/dcm.dom.local@dom.LOCAL
  1  des-cbc-md5              ldap/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         HOST/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         host/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         ldap/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  HOST/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  HOST/dcm@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  HOST/dcm.dom.local@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  dcm$@dom.LOCAL

root@dcm:~# diff <(ktutil -k /var/lib/samba/private/secrets.keytab list) <(ktutil -k /etc/krb5.keytab list)
1c1
< /var/lib/samba/private/secrets.keytab:
---
> /etc/krb5.keytab:
root@dcm:~#

In den Samba Logs unter /var/log/samba/log.samba von DCB / DCS zeigen sich seit auftreten des Fehlers folgende Fehlermehldungen :

[2013/05/26 06:32:05,  0] ../source4/librpc/rpc/dcerpc_util.c:660(dcerpc_pipe_auth_recv)
  Failed to bind to uuid <UUID des DCM> for <UUID>@ncacn_ip_tcp:<UUID>._msdcs.ktc.local[1024,seal,krb5] NT_
STATUS_UNSUCCESSFUL

Können wir den DCM irgendwie wieder an die übrige Domäne angleichen oder wird hier eine Verschiebung der Rolle des DCMs notwendig?

P.S.: Updatestand auf allen UCS Systemen (DCM, DCB und DCS): 3.1-1 errata98

Hallo,

wurde der SMB4 schon öfters gejoint?
existiert ein /etc/krb5.keytab.SAVE??

ktutil -k /etc/krb5.keytab.SAVE list

Hallo,

Danke für die schnelle Antwort.

Samba wurde auf dem Server nicht manuell mehrmals gejoint, (ggf. durch ein Update automatisch nochmals? ).

join.log:

ls -la /var/log/univention/join.log
-rw-r----- 1 root adm 32814  9. Apr 14:13 /var/log/univention/join.log

ein /etc/krb5.keytab.SAVE existiert:

root@dcm:~# ktutil -k /etc/krb5.keytab.SAVE list
/etc/krb5.keytab.SAVE:

Vno  Type                     Principal                         Aliases
  1  aes256-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  1  des3-cbc-sha1            host/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         host/dcm.dom.local@dom.LOCAL
  1  des-cbc-md5              host/dcm.dom.local@dom.LOCAL
  1  des-cbc-md4              host/dcm.dom.local@dom.LOCAL
  1  des-cbc-crc              host/dcm.dom.local@dom.LOCAL
  1  aes256-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  1  aes128-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  1  des3-cbc-sha1            ldap/dcm.dom.local@dom.LOCAL
  1  arcfour-hmac-md5         ldap/dcm.dom.local@dom.LOCAL
  1  des-cbc-md5              ldap/dcm.dom.local@dom.LOCAL
  1  des-cbc-md4              ldap/dcm.dom.local@dom.LOCAL
  1  des-cbc-crc              ldap/dcm.dom.local@dom.LOCAL

Die Version 2 scheint hier trotzdem zu fehlen…?

ist eventuell noch ein anderes keytab vorhanden?

ls -l /etc/ | grep keytab

Handelt es sich hier um einen eigenständigen Samba4? Oder existieren mehrere, welche für diese Domäne zuständig sind?

Ja, leider fehlt in dieser Keytab auch die V2. Die SAVE DAtei scheint auch vom Initialen stand zu sein, an dem der Srver installiert wurde

ls -l /etc/ | grep keytab
-rw-------  1 root       root             1852  3. Jun 13:16 krb5.keytab
-rw-------  1 root       root             1108  9. Apr 10:21 krb5.keytab.SAVE

Es handelt sich um eine Installation mit DCM, DCB und DCS (für Softwareverteilung hinzugenommen).

Ist am Backup auch Samba4 installiert?

Ja, samba4 ist auch am Backupserver installiert.

Hallo,

mit den folgenden Befehlen können Sie die /etc/krb5.keytab mit dem aktuellen Key neu generieren:eval "$(ucr shell)" echo -e "dn: flatname=$windows_domain,cn=Primary Domains\nchangetype: modify\nreplace: krb5Keytab\nkrb5Keytab: /tmp/krb5.keytab" | ldbmodify -H /var/lib/samba/private/secrets.ldb echo -e "dn: flatname=$windows_domain,cn=Primary Domains\nchangetype: modify\nreplace: krb5Keytab\nkrb5Keytab: /etc/krb5.keytab" | ldbmodify -H /var/lib/samba/private/secrets.ldb

Sollten die “Failed to find dcm$@dom.LOCAL(kvno N) in keytab FILE:/etc/krb5.keytab” weiterhin erscheinen, hilft es vermutlich die Samba 4 Dienste einmal neu zu starten damit diese den aktuellen Key verwenden.

Für eine weitere Analyse währe es hilfreich wenn Sie ermitteln könnten wann die Keytab “verschwunden” ist. Ich vermute das die Keytab, da Sie nicht existierte, bei der Passwortänderung des Servers (diese war vermutlich am 27. um 01:10 Uhr).

Mit freundlichen Grüßen
Janis Meybohm

Hallo Herr Meybohm,

Danke für die Antwort, damit werden die Einträge in der krb5.keytab in der Vno 3 hergestellt. Leider weigert sich Samba4 weiterhin, zu starten, unter hinweis auf die fehlende kvno 2 in der Datei. Muss hier noch an einer anderen Stelle die Samba Information upgedatet werden, dass jetzt die Version 3 verwendet werden soll?

/etc/init.d/samba4 restart
Stopping Samba 4 daemon: samba.
Starting Samba 4 daemon: samba!.
lessRestarting bind9 daemon: .

done.

root@dcm:~#ktutil -k /tmp/krb5.keytab list
/tmp/krb5.keytab:

Vno  Type                     Principal                         Aliases
  3  des-cbc-crc              HOST/dcm@dom.LOCAL
  3  des-cbc-crc              HOST/dcm.dom.local@dom.LOCAL
  3  des-cbc-crc              host/dcm.dom.local@dom.LOCAL
  3  des-cbc-crc              ldap/dcm.dom.local@dom.LOCAL
  3  des-cbc-crc              dcm$@dom.LOCAL
  3  des-cbc-md5              HOST/dcm@dom.LOCAL
  3  des-cbc-md5              HOST/dcm.dom.local@dom.LOCAL
  3  des-cbc-md5              host/dcm.dom.local@dom.LOCAL
  3  des-cbc-md5              ldap/dcm.dom.local@dom.LOCAL
  3  des-cbc-md5              dcm$@dom.LOCAL
  3  arcfour-hmac-md5         HOST/dcm@dom.LOCAL
  3  arcfour-hmac-md5         HOST/dcm.dom.local@dom.LOCAL
  3  arcfour-hmac-md5         host/dcm.dom.local@dom.LOCAL
  3  arcfour-hmac-md5         ldap/dcm.dom.local@dom.LOCAL
  3  arcfour-hmac-md5         dcm$@dom.LOCAL
  3  aes128-cts-hmac-sha1-96  HOST/dcm@dom.LOCAL
  3  aes128-cts-hmac-sha1-96  HOST/dcm.dom.local@dom.LOCAL
  3  aes128-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  3  aes128-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  3  aes128-cts-hmac-sha1-96  dcm$@dom.LOCAL
  3  aes256-cts-hmac-sha1-96  HOST/dcm@dom.LOCAL
  3  aes256-cts-hmac-sha1-96  HOST/dcm.dom.local@dom.LOCAL
  3  aes256-cts-hmac-sha1-96  host/dcm.dom.local@dom.LOCAL
  3  aes256-cts-hmac-sha1-96  ldap/dcm.dom.local@dom.LOCAL
  3  aes256-cts-hmac-sha1-96  dcm$@dom.LOCAL

Logauszug vom Samba Neustart:

...
[2013/06/04 15:11:32,  0] ../source4/smbd/server.c:371(binary_smbd_main)
  samba version 4.0.3 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2012
[2013/06/04 15:11:33,  0] ../source4/smbd/server.c:484(binary_smbd_main)
  samba: using 'standard' process model
[2013/06/04 15:11:38,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
[2013/06/04 15:11:38,  1] ../auth/gensec/spnego.c:574(gensec_spnego_parse_negTokenInit)
  SPNEGO(gssapi_krb5) NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
[2013/06/04 15:11:38,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
[2013/06/04 15:11:38,  1] ../auth/gensec/spnego.c:574(gensec_spnego_parse_negTokenInit)
  SPNEGO(gssapi_krb5) NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
[2013/06/04 15:11:43,  1] ../source4/auth/gensec/gensec_gssapi.c:306(gensec_gssapi_client_creds)
  Wrong username or password: kinit for dcm$@dom.LOCAL failed (Preauthentication failed)

[2013/06/04 15:11:43,  0] ../source4/librpc/rpc/dcerpc_util.c:660(dcerpc_pipe_auth_recv)
  Failed to bind to uuid e3514235-4b06-11d1-zzzz-00c04fc2zzzz for e3514235-4b06-11d1-zzzz-00c04fc2zzzz@ncacn_ip_tcp:5412df32-045c-43d6-zzzz-5a326187zzzz._msdcs.dom.local[1024,seal,krb5] NT_STATUS_LOGON_FAILURE
[2013/06/04 15:11:53,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
[2013/06/04 15:11:53,  1] ../auth/gensec/spnego.c:574(gensec_spnego_parse_negTokenInit)
  SPNEGO(gssapi_krb5) NEG_TOKEN_INIT failed: NT_STATUS_LOGON_FAILURE
[2013/06/04 15:11:53,  1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
  GSS server Update(krb5)(1) Update failed:  Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
...

Hallo,

starten sollte Samba in jedem Fall unabhängig von der kvno Meldung. Ich würde vermuten das ein anderer Samba 4 DC hier versucht eine Verbindung mit dem alten Key (kvno 2) herzustellen. Bitte starten Sie den Samba 4 Dienst auf allen DCs einmal neu und prüfen Sie ob die Meldungen dann noch ausgegeben werden.

Mit freundlichen Grüßen
Janis Meybohm

Hallo Herr Meybohm,

Vielen, Dank. Mit dem Neustart ist das problem behoben. Ich werde mir morgen nochmal genau die Logs anschauen und hier Rückmeldung geben.

Hallo,

ich konnte mittlerer Weile anhand unserer Backups feststellen, dass die krb5.keytab auf jedem Fall vor dem letzten Update des Servers nicht mehr vorhanden war. Leider kann ich den Logs nicht entnehmen, wodurch die Datei gelöscht wurde.