Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

1. Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

alexandremc
(usa Debian)

Enviado em 12/02/2022 - 14:26h

Olá pessoal. Tudo bem?

Quando compilo o samba4 e uso como banckend o BIND9_DLZ acontece erro de
chave inacessível (dns_tkey_gssnegotiate: TKEY is unacceptable). Ao
tentar executar: samba_dnsupdate --all-name

Quando instalo o samba do repositório, subo o domínio fica OK.

Instalo o Debian 11, configuro a rede, o arquivo hosts, o arquivo
hosname. Reinicio e subo o servidor na sequência.

Já tentei tudo do Wiki, permissão, caminho dos arquivos. São os mesmo
usados quando instalo do repositório (com os ajustes de caminho).

Tentei mais de uma versão 4.13.13 e 4.15.5. O erro persiste.

Tentei sem parâmetros e com parâmetros.

./configure

./configure --with-ads --systemd-install-services
--with-shared-modules=idmap_ad --enable-debug --enable-selftest
--with-systemd --prefix=/opt/samba4 -j3

./configure --with-ads --systemd-install-services
--with-shared-modules=idmap_ad --enable-debug --enable-selftest
--with-systemd -j3

./configure --enable-debug --enable-selftest --with-systemd
--prefix=/opt/samba4 -j3

./configure --enable-debug --enable-selftest --with-systemd -j3

Estou a dias batendo cabeça. Alguma sugestão?

Abraços

0 0

Quote

2. MELHOR RESPOSTA

Carlos_Cunha
(usa Linux Mint)

Enviado em 14/03/2022 - 14:22h

Remove o link do Kerberos e copia o arquivo, sendo um link pode dar problema:



unlink/etc/krb5.conf

cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Do not create a symbolic link to the the generated krb5.conf file. In Samba 4.7 and later, the /usr/local/samba/private/ directory is no longer accessible by other users than the root user. If the file is a symbolic link, other users are not able to read the file and, for example, dynamic DNS updates fail if you use the BIND_DLZ DNS back end.

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller#Configuri...

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

1 0

Quote

3. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

Carlos_Cunha
(usa Linux Mint)

Enviado em 09/03/2022 - 16:41h

https://wiki.samba.org/index.php/Dns_tkey_negotiategss:_TKEY_is_unacceptable

0 0

Quote

4. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

alexandremc
(usa Debian)

Enviado em 10/03/2022 - 13:38h

Carlos_Cunha escreveu:

https://wiki.samba.org/index.php/Dns_tkey_negotiategss:_TKEY_is_unacceptable

Opa, tudo bem?

Boa tarde! Como disse no texto:

"... Já tentei tudo do Wiki, permissão, caminho dos arquivos. São os mesmo
usados quando instalo do repositório (com os ajustes de caminho). ..."

Não ajudou o wiki.

Abraços

0 0

Quote

5. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

Carlos_Cunha
(usa Linux Mint)

Enviado em 13/03/2022 - 23:40h

Se vc ja fez a documentação oficial e não resolveu e pq provavelmente o problema que esta gerando isso vc ainda não concertou.
Pergunta, o nameserver do seu resolv.conf esta o IP do SAMBA(DC)? Ele tem que estar como dns dele mesmo, se não tera erros desse tipo

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

0 0

Quote

6. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

alexandremc
(usa Debian)

Enviado em 13/03/2022 - 23:46h

Carlos_Cunha escreveu:

Se vc ja fez a documentação oficial e não resolveu e pq provavelmente o problema que esta gerando isso vc ainda não concertou.
Pergunta, o nameserver do seu resolv.conf esta o IP do SAMBA(DC)? Ele tem que estar como dns dele mesmo, se não tera erros desse tipo

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Descobrir o que causa o problema é o motivo da minha pergunta. ;-)

Sim. O resolv.conf aponta para o DNS que tbm é Controlador de Domínio.

Como disse no início uso o BIND como DNS e não o Samba Internal.

No caso em tela o servidor é controlador de domínio e DNS.

Abraços

0 0

Quote

7. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

Carlos_Cunha
(usa Linux Mint)

Enviado em 13/03/2022 - 23:54h

Execute e poste a saída:

OBS: Se mudou o local padrão da instalação do Samba(Copilado) ajusta nos comandos abaixo(apenas os necessários), aonde esta /ur/local/samba/, coloque o seu caminho, caso esta no padrão, apenas execute:



cat /etc/bind/named.conf.local

-----

cat /etc/bind/named.conf.options

----

cat /usr/local/samba/bind-dns/named.conf 

----

ls -ld /usr/local/samba/bind-dns/

----

ls -l /usr/local/samba/bind-dns/dns.keytab

0 0

Quote

8. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

alexandremc
(usa Debian)

Enviado em 14/03/2022 - 00:12h

Opa,

O local de instalação é /usr/local/samba

cat /etc/bind/named.conf.local

//

// Do any local configuration here

//



// Consider adding the 1918 zones here, if they are not used in your

// organization

//include "/etc/bind/zones.rfc1918";

include "/usr/local/samba/bind-dns/named.conf";

cat /etc/bind/named.conf.options

options {

	directory "/var/cache/bind";



	// If there is a firewall between you and nameservers you want

	// to talk to, you may need to fix the firewall to allow multiple

	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113



	// If your ISP provided one or more IP addresses for stable 

	// nameservers, you probably want to use them as forwarders.  

	// Uncomment the following block, and insert the addresses replacing 

	// the all-0's placeholder.



	forwarders {

		8.8.8.8;

	};



	tkey-gssapi-keytab "/usr/local/samba/bind-dns/dns.keytab";



	//========================================================================

	// If BIND logs error messages about the root key being expired,

	// you will need to update your keys.  See https://www.isc.org/bind-keys

	//========================================================================

	dnssec-validation auto;



	listen-on-v6 { any; };

};

cat /usr/local/samba/bind-dns/named.conf

# This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support.

#

# This file should be included in your main BIND configuration file

#

# For example with

# include "/usr/local/samba/bind-dns/named.conf";



#

# This configures dynamically loadable zones (DLZ) from AD schema

# Uncomment only single database line, depending on your BIND version

#

dlz "AD DNS Zone" {

    # For BIND 9.8.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";



    # For BIND 9.9.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";



    # For BIND 9.10.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_10.so";



    # For BIND 9.11.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_11.so";



    # For BIND 9.12.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_12.so";



    # For BIND 9.14.x

    # database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_14.so";



    # For BIND 9.16.x

     database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_16.so -d 3";

};

ls -ld /usr/local/samba/bind-dns/

drwxrwx--- 1 root bind 64 fev 20 01:29 /usr/local/samba/bind-dns/

ls -l /usr/local/samba/bind-dns/dns.keytab

-rw-rw---- 2 root bind 517 fev 20 01:24 /usr/local/samba/bind-dns/dns.keytab

Abraços

0 0

Quote

9. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

Carlos_Cunha
(usa Linux Mint)

Enviado em 14/03/2022 - 00:21h

Mais alguns:



ls -l /etc/krb5.conf

---

cat   /etc/krb5.conf

---

klist

---

samba_upgradedns --dns-backend=BIND9_DLZ

0 0

Quote

10. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

alexandremc
(usa Debian)

Enviado em 14/03/2022 - 00:35h

ls -l /etc/krb5.conf

lrwxrwxrwx 1 root root 34 fev 20 01:12 /etc/krb5.conf -> /usr/local/samba/private/krb5.conf

cat /etc/krb5.conf

[libdefaults]

	default_realm = MEUDOMINIO.COM.BR

	dns_lookup_realm = false

	dns_lookup_kdc = true



[realms]

MEUDOMINIO.COM.BR = {

	default_domain = meudominio.com.br

}



[domain_realm]

	srv-smb = MEUDOMINIO.COM.BR

klist

klist: No credentials cache found (filename: /tmp/krb5cc_0)

samba_upgradedns --dns-backend=BIND9_DLZ

Reading domain information

DNS accounts already exist

No zone file /usr/local/samba/bind-dns/dns/ MEUDOMINIO.COM.BR.zone (normal)

DNS partitions already exist

dns-srv-ligre account already exists

See /usr/local/samba/bind-dns/named.conf for an example configuration include file for BIND

and /usr/local/samba/bind-dns/named.txt for further documentation required for secure DNS updates

Finished upgrading DNS

PS: Por questões de privacidade alterei a impressão do nome do domínio.

0 0

Quote

11. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

alexandremc
(usa Debian)

Enviado em 14/03/2022 - 00:38h

kinit administrator

Password for administrator@MEUDOMINIO.COM.BR: 

Warning: Your password will expire in 20 days on dom 03 abr 2022 00:37:46

klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@MEUDOMINIO.COM.BR



Valid starting       Expires              Service principal

14/03/2022 00:36:23  14/03/2022 10:36:23  krbtgt/MEUDOMINIO.COM.BR@MEUDOMINIO.COM.BR

	renew until 15/03/2022 00:36:18

0 0

Quote

12. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

alexandremc
(usa Debian)

Enviado em 14/03/2022 - 15:04h

Carlos_Cunha escreveu:

Remove o link do Kerberos e copia o arquivo, sendo um link pode dar problema:



unlink/etc/krb5.conf

cp /usr/local/samba/private/krb5.conf /etc/krb5.conf

Opa,

Funcionou. Engraçado que usei sempre dessa forma, e quando uso o samba do repositório funciona.

Obrigado.

0 0

Quote

Patrocínio

Site hospedado pelo provedor RedeHost.

Top 10 do mês

Xerxes
1° lugar - 65.536 pts
Fábio Berbert de Paula
2° lugar - 50.959 pts
Buckminster
3° lugar - 17.577 pts
Mauricio Ferrari
4° lugar - 15.328 pts
Alberto Federman Neto.
5° lugar - 13.978 pts
Diego Mendes Rodrigues
6° lugar - 13.642 pts
Daniel Lara Souza
7° lugar - 13.021 pts
Andre (pinduvoz)
8° lugar - 10.393 pts
edps
9° lugar - 10.527 pts
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.437 pts

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

1. Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

2. MELHOR RESPOSTA

3. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

4. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

5. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

6. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

7. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

8. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

9. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

10. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

11. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable

12. Re: Samba4 Compilado com BIND9_DLZ no backend - Erro dns_tkey_gssnegotiate: TKEY is unacceptable [RESOLV

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts