Hallo zusammen,
in einer Samba Domäne mit DCM, DCB und DCS hat der DCM zwischenzeitlich offensichtlich seine Karberos Credentials nicht besessen.
In dem log unter /var/log/samba/log.samba finden sich auf dem DCM in den ältesten Einträgen noch folgende Meldungen:
[2013/05/26 06:31:31, 1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
GSS server Update(krb5)(1) Update failed: Miscellaneous failure (see text): keytab /etc/krb5.keytab open failed: No such file or directory
Dies wechselte anschließend zu der folgenden Meldung, die aktuell weiterhin besteht:
GSS server Update(krb5)(1) Update failed: Miscellaneous failure (see text): Failed to find dcm$@dom.LOCAL(kvno 2) in keytab FILE:/etc/krb5.keytab (arcfour-hmac-md5)
[2013/05/27 01:10:43, 1] ../source4/auth/gensec/gensec_gssapi.c:645(gensec_gssapi_update)
…und mittlererweile mit auch für die “kvno 3” wiederholt wird.
Die einträge in der secrets.keytab und krb5.keytab zeigen leider auch die gleichen Einträge, weswegen eine Kopie der secrets.keytab nach krb5.keytab auch nichts bringt:
root@dcm:~#ktutil -k /var/lib/samba/private/secrets.keytab list
/var/lib/samba/private/secrets.keytab:
Vno Type Principal Aliases
1 des-cbc-crc HOST/dcm@dom.LOCAL
1 des-cbc-crc HOST/dcm.dom.local@dom.LOCAL
1 des-cbc-crc dcm$@dom.LOCAL
1 des-cbc-md5 HOST/dcm@dom.LOCAL
1 des-cbc-crc host/dcm.dom.local@dom.LOCAL
1 des-cbc-md5 dcm$@dom.LOCAL
1 arcfour-hmac-md5 HOST/dcm@dom.LOCAL
1 des-cbc-crc ldap/dcm.dom.local@dom.LOCAL
1 arcfour-hmac-md5 dcm$@dom.LOCAL
1 aes128-cts-hmac-sha1-96 HOST/dcm@dom.LOCAL
1 des-cbc-md5 HOST/dcm.dom.local@dom.LOCAL
1 aes128-cts-hmac-sha1-96 dcm$@dom.LOCAL
1 des-cbc-md5 host/dcm.dom.local@dom.LOCAL
1 des-cbc-md5 ldap/dcm.dom.local@dom.LOCAL
1 arcfour-hmac-md5 HOST/dcm.dom.local@dom.LOCAL
1 arcfour-hmac-md5 host/dcm.dom.local@dom.LOCAL
1 arcfour-hmac-md5 ldap/dcm.dom.local@dom.LOCAL
1 aes128-cts-hmac-sha1-96 HOST/dcm.dom.local@dom.LOCAL
1 aes128-cts-hmac-sha1-96 host/dcm.dom.local@dom.LOCAL
1 aes128-cts-hmac-sha1-96 ldap/dcm.dom.local@dom.LOCAL
1 aes256-cts-hmac-sha1-96 HOST/dcm@dom.LOCAL
1 aes256-cts-hmac-sha1-96 HOST/dcm.dom.local@dom.LOCAL
1 aes256-cts-hmac-sha1-96 host/dcm.dom.local@dom.LOCAL
1 aes256-cts-hmac-sha1-96 ldap/dcm.dom.local@dom.LOCAL
1 aes256-cts-hmac-sha1-96 dcm$@dom.LOCAL
root@dcm:~# diff <(ktutil -k /var/lib/samba/private/secrets.keytab list) <(ktutil -k /etc/krb5.keytab list)
1c1
< /var/lib/samba/private/secrets.keytab:
---
> /etc/krb5.keytab:
root@dcm:~#
In den Samba Logs unter /var/log/samba/log.samba von DCB / DCS zeigen sich seit auftreten des Fehlers folgende Fehlermehldungen :
[2013/05/26 06:32:05, 0] ../source4/librpc/rpc/dcerpc_util.c:660(dcerpc_pipe_auth_recv)
Failed to bind to uuid <UUID des DCM> for <UUID>@ncacn_ip_tcp:<UUID>._msdcs.ktc.local[1024,seal,krb5] NT_
STATUS_UNSUCCESSFUL
Können wir den DCM irgendwie wieder an die übrige Domäne angleichen oder wird hier eine Verschiebung der Rolle des DCMs notwendig?
P.S.: Updatestand auf allen UCS Systemen (DCM, DCB und DCS): 3.1-1 errata98