Kerberos Ticket Probleme

german

#1

Hallo,

ich bekomme in unregelmässigen Abständen folgende Fehlermdlung im Samba log:
smbd/sesssetup.c:342(reply_spnego_kerberos) Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

Wo kann ich nach dem Fehler suchen? Wenn ich das Recht verstehe ist das ein Kerberos Problem? Ich verwende auf sowohl auf dme DC wie auch auf dem Dateiserver UCS 3.1.x

grüße

Hauke Homburg


#2

Hallo,

Auf dem Memberserver habe ich mit debug=3 folgende Logzeile gefunden:

libads/kerberos_verify.c:429(ads_secrets_verify_ticket) libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Decrypt integrity check failed

auf dem DC steht im Log
Failed to decrypt PA-DATA – SRV002$@servername.local (enctype aes256-cts-hmac-sha1-96) error Decrypt integrity check failed for checksum type hmac-sha1-96-aes256, key type aes256-cts-hmac-sha1-96

grüße

Hauke Homburg


#3

Hallo,

Da die Rechnernamen ja im Grunde unter kerberos auch Benutzer sind, allerdings Maschinenkonten, habe ich mal ein sambatools user liste ausgeführt.
Da werden allerdings nur Benutzerkonten angezeigt. Müssen da nicht auch die Maschinenkonten austauchen?

grüße

Hauke homburg


#4

Hallo,

können Sie zeitgleich zu den Meldungen effektive Folgen feststellen?
Was für Clients lösen die Meldungen aus und wie haben Sie diese in die Domäne gejoined?

Mit freundlichen Grüßen,
Tim Petersen


#5

Hallo,

Habe in der Umgebung 1 UCS DC, 2 Memberserver, und 2 Windows 7 x64 VMs gejoint.
Ich kann von der Win7 VM nicht auf die Server zugreifen. Die Probleme treten teilweise sofort auf teilweise erst nach stunden. Daher hatte ich die Zeitabweichung im Sinn, aber die Zeiten sind synchron. Teilweise kann ich dann von einer Win7 VM nicht auf die Membeserver zugreifen, aber auf den DC geht in den Augenblick noch.

Weiter kann ich im Moment sagen, dass ich testweise den Hauptspeicher in einer anderen Installation mit gleichen Problemen auf 1GB erhöht habe. Beim DC. Aber auch da bekomme ich vom Bind9 im log Segmentation Fault anzeigen.

Wenn der Zugriff klappt komme ich auf die Freigaben. Wenn der Zugriff nicht klappt bekomme wie in einem Peer Netzwerk eine Passwort Abfrage. Die allerdings nicht funktioniert.

grüße

Hauke Homburg


#6

Hallo,

Ich habe eben mal einen Server neu gejoint. Nun klappt der Zugriff wieder. Muss ich die Memberserver eventuell öfter mal neu joinen? Wenn ja warum das?

grüße

Hauke Homburg


#7

Nach Aktualisierung müssen manche Join-Scripte durch Veränderungen bedingt neu ausgeführt werden. Die Ausführung des Kommandos univention-run-join-scripts hätte also vermutlich auch gereicht. In der UMC sollte eigentlich angezeigt werden, ob dies nötig ist.


#8

Hallo,

Wenn Sie Systemaktualisierungen meinen, dann habe ich extra keine Aktualisierungen ausgeführt. Ich habe im Moment den Eindruck, dass ich Probleme mit den Tickets oder der Lebendauer der Tickets habe. Da ein kinit list aber nur einen leeren Ticket Cache anzeigt komme ich aktuell nicht weiter.

grüße

Hauke Homburg


#9

Hallo,

Also ich lasse es im Moment sein mit DNS CNames zu arbeiten und habe den RAM Speicher der DC VM auf 1GB gesetzt. Aktuell habe ich keine Probleme.
Da stellt sich mir allersdings die Frage warum der DC Server soviel Speicher braucht. Gibt es da von Univention aus Richtwerte? Ich frage da ich aktuell nur 3 Benutzer angelegt habe, und 1DC, 3 Menberserver, und 4 Windows Maschinen am laufen habe. Das ist ja eigentlich noch nicht viel?!?

mit freundlichen Grüßen

Hauek Homburg


#10

Hallo!

[quote=“hhomburg”]
Da stellt sich mir allersdings die Frage warum der DC Server soviel Speicher braucht. Gibt es da von Univention aus Richtwerte?[/quote]

Könnten Sie Ihre Frage mit konkreten Werten (free -m, top, etc.) unterlegen? Der Bedarf an Hardware-Ressourcen lässt sich so nicht pauschalisieren, da er extrem vom Einsatzzweck, der verwendeten Systemrolle und installierten Komponenten abhängt (Samba, Groupware, DHCP, etc.).

Mit freundlichen Grüßen,
Tim Petersen