-
Clock Skew too great
سلام
برای join کردن یک کلاین لینوکس به Wndows 2003 Active Directory تنظیمات لازم در smb.conf و krb5.conf را انجام دادم و حالا با اجرای دستور
[LEFT]net ads join -S myADSErvermachinname.REALM -U administrator%mypassword[/LEFT]
[RIGHT]( البته با REALM خودم و آدرس ماشین خودم . )
به ایراد بر می خورم :[/RIGHT]
[CENTER][COLOR=red]Clock Skew too greate[/COLOR][/CENTER]
[RIGHT]این ایراد زمان تولید کلید توسط kerberous server پیش می یاد و وقتی که اختلاف زمانی بین سرور و کلاینت بیشتر از حد معمول باشه . ولی من زمان لینوکس را با دستور ntpdate - u 192.168.0.1
( 192.168.0.1 =WIN 2003 ) و اختلاف زمانی اونها کمتر از چند ثانیه هست ولی بازم این ایراد برطرف نشده .[/RIGHT]
[CENTER][IMG]http://i18.tinypic.com/6gnnrzl.jpg[/IMG][/CENTER]
[RIGHT]لازم به ذکره که کامپیوتر لینوکس به Active Directory من اضافه شده پس بسیار بعید می دونم کانفیک samba و krb5.conf من اشباه باشه . [/RIGHT]
[RIGHT]هر نظری می تونه کمک کنه . ممنونم .[/RIGHT]
-
[LEFT][quote][B]Note[/B]
Time between the two servers must be synchronized. You will get a “kinit(v5): Clock skew too great while getting initial credentials” if the time difference (clock skew) is more than five minutes.
[/quote]
[QUOTE]
[LEFT]Clock skew limits are configurable in the Kerberos protocols. The default setting is five minutes[/LEFT]
[/QUOTE][LEFT]
[code]http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html[/code]Another One
[LEFT] [quote]
[B] [B]. Clock synchronization[/B] Ensure Clock synchronization between your [URL="http://fedora.redhat.com/"]Fedora Core 6[/URL], DNS Server(if available) & Windows 2003 Server. If the server and client clocks are different by more than 5 minutes(default amount in [URL="http://web.mit.edu/Kerberos/"]Kerberos 5[/URL]), Kerberos clients(FC6) can not authenticate to the server. This clock synchronization is necessary to prevent an attacker from using an old Kerberos ticket to masquerade as a valid user. It’s advisable to setup a [URL="http://www.ntp.org/"]Network Time Protocol[/URL] (NTP compatible client/server network. Check [URL="http://www.ntp.org/"]ntp.org[/URL] for more informations[/B][/quote].
[/LEFT]
[/LEFT]
[/LEFT]
-
عزیز ممنونم که می خواین سریع جواب بدین ولی یه خورده پست من را دقیق تر بخونید می فهمید که شما حرف های منو تکرار کردی و راه حلی پیشنهاد ندادید.
اگر به تصویردقت کنید اختلاف زمانی بین کلاینت و سرور من [COLOR=red]کمتر از چند ثانیه[/COLOR] است نه 5 دقیقه
اگر این لینک یا همچین لینک هایی را مطالعه نکرده بودم چه جوری می تونستم به این مرحله برسم ؟ با توجه به اینکه این لینک کاملا general است و به طور اختصاصی به مشکل من اشاره نکرده .
بازم ممنونم ولی من از جواب شما استفاده ای نکردم .
-
[RIGHT]خوب مشکل clock Skew حل شد . یا اجرای سرویس ntp در لینوکس و در نتیجه update شدن تاریخ به صورت اتوماتیک توسط خود سیستم . [/RIGHT]
[LEFT]service ntpd start[/LEFT]
[RIGHT]برای چک کردن فقط کافیه دستور kinit administrator@REALM را بزنید اگر بدن ایراد clock skew به پرمپت برگشتید همه چیز خوب کار می کنه .
[COLOR=red]-------------------------------------------------------------------------------------------[/COLOR][/RIGHT]
[COLOR=red][/COLOR]
[RIGHT]حالا با یک مشکله دیگه مواجه شدم همه چیز به نظر درست میرسه و با اجرای دستور دارم :
[/RIGHT]
[LEFT]root@cache ~]# net ads join -U administrator%mypassword -S winserver.mydomain.com
2007/07/21 02:51:34, 0] libads/ldap.c:ads_add_machine_acct(1414)
ads_add_machine_acct: Host account for cache already exists - modifying old account
Using short domain name -- MYDOMAIN0[/LEFT]
[RIGHT]الان باید join کنه . همه چیز درست بنظر می رسه ایرادی نمی گیره ولی جوابی دریافت نمی کنم ( الان 1 ساعت هست منتظرم تا دستور جواب بده )
[/RIGHT]
[RIGHT]کسانی که تا حالا این کارو انجام دادن به این چنین مشکلی بر خوردن ؟[/RIGHT]
[LEFT]linux machine ---------------------> 192.168.0.20-------------> cache.linux.com
windows server machine-------------> 192.168.0.254------------> winserver.mydomian.com[/LEFT]
[RIGHT]
ااین هم خروجی Tcpdump شاید کمک کنه[/RIGHT]
[RIGHT]سرویس iptables استاپ هست . و Selinux غیرفعال
[/RIGHT]
[LEFT][root@cache ~]# tcpdump -t host 192.168.0.254
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
IP 192.168.0.20.32944 > 192.168.0.254.domain: 65418+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.20.32945 > 192.168.0.254.domain: 26130+ PTR? 254.0.168.192.in-addr.arpa. (44)
IP 192.168.0.254.domain > 192.168.0.20.32944: 47843 ServFail 0/0/0 (47)
IP 192.168.0.20.32946 > 192.168.0.254.domain: 36290+ A? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32946: 36290* 1/0/0 A 192.168.0.254 (53)
IP 192.168.0.20.32946 > 192.168.0.254.domain: 3985+ AAAA? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32946: 3985* 0/1/0 (83)
IP 192.168.0.20.32946 > 192.168.0.254.domain: 24480+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.20.32945 > 192.168.0.254.domain: 26130+ PTR? 254.0.168.192.in-addr.arpa. (44)
IP 192.168.0.20.32946 > 192.168.0.254.domain: 24480+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.20.32947 > 192.168.0.254.domain: 26574+ PTR? 20.0.168.192.in-addr.arpa. (43)
IP 192.168.0.254.domain > 192.168.0.20.32944: 65418 ServFail 0/0/0 (47)
IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32944 unreachable, length 83
IP 192.168.0.20.32948 > 192.168.0.254.domain: 45473+ A? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32948: 45473* 1/0/0 A 192.168.0.254 (53)
IP 192.168.0.20.32948 > 192.168.0.254.domain: 627+ AAAA? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32948: 627* 0/1/0 (83)
IP 192.168.0.20.32948 > 192.168.0.254.domain: 13895+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.20.32947 > 192.168.0.254.domain: 26574+ PTR? 20.0.168.192.in-addr.arpa. (43)
IP 192.168.0.254.domain > 192.168.0.20.32945: 26130 ServFail 0/0/0 (44)
IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 [COLOR=red]udp port 32945 unreachable[/COLOR], length 80
IP 192.168.0.20.32948 > 192.168.0.254.domain: 13895+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.254.domain > 192.168.0.20.32946: [COLOR=red]24480 ServFail 0/0/0[/COLOR] (47)
IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32946 unreachable, length 83
arp who-has 192.168.0.254 tell 192.168.0.20
arp reply 192.168.0.254 is-at 00:0c:29:0f:90:c7 (oui Unknown)
IP 192.168.0.20.32948 > 192.168.0.254.domain: 37879+ A? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32948: 37879* 1/0/0 A 192.168.0.254 (53)
IP 192.168.0.20.32948 > 192.168.0.254.domain: 57704+ AAAA? winserver.mydomain.com. (37)
IP 192.168.0.254.domain > 192.168.0.20.32948: 57704* 0/1/0 (83)
IP 192.168.0.20.32948 > 192.168.0.254.domain: 19362+ AAAA? winserver.mydomain.com.linux.com. (47)
IP 192.168.0.254.domain > 192.168.0.20.32947: 26574 ServFail 0/0/0 (43)
IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 [COLOR=red]udp port 32947 unreachable[/COLOR], length 79[/LEFT]
-
دوست عزیز من لینک بالا رو به عمد دادم تا بهتون بگم که دلیل مشکل شما چیزی جز همون اختلاف تایم نیست
درسته اختلاف شما کمتر از چند ثانیه بود ولی دیدین که ....
[quote]
خوب مشکل clock Skew حل شد یا اجرای سرویس ntp در لینوکس و در نتیجه update شدن تاریخ به صورت اتوماتیک توسط خود سیستم [/quote]موفق باشید
-
[CENTER][quote]
[COLOR=red]Clock Skew too greate[/COLOR][/CENTER]
[RIGHT]این ایراد زمان تولید کلید توسط kerberous server پیش می یاد و وقتی که اختلاف زمانی بین سرور و کلاینت بیشتر از حد معمول باشه . ولی من زمان لینوکس را با دستور ntpdate - u 192.168.0.1
( 192.168.0.1 =WIN 2003 ) و اختلاف زمانی اونها کمتر از چند ثانیه هست ولی بازم این ایراد برطرف نشده .[/RIGHT]
[/quote]
این قسمتی از پست اول منه که دقیقا گفتم مشکل از اختلاف زمانی هست . پس نیازی به تکرار مجدد نبود.
اگر شما این کار قبلا کرده بودین و می دونستین مشکل از ntp هست ممنون می شدم به عمد این لینک را معرفی نمی کردین و فقط یک کلمه می نوشتین ntp (خودتون لینک را خوندین ؟ اونجا حتی اسمی از ntp نیاورده )
به هر حال باز هم از اینکه می خواین کمک کنید ممنونم .
و خوشحال می شم نظرتون را در مورد مشکلی که در پست قبلیم مطرح کردم و هیچ ایده ای برای برطرف کردن اون ندارم بشنوم .
در ضمن این[URL="http://forum.persiannetworks.com/showthread.php?t=16790"] پست[/URL] را هم خوندم به نظر می رسه آقای نکویی قبلا همچین کاری کردن . ممنون میشم لطف کنن و من را راهنمایی کنن . ( خوب من به اندازه کافی سرچ کردم شاید الان بخواین تجربیاتتون را به اشتراک بزارین )
-
آقا من معذرت می خوام که شما رو گمراه کردم، نیت خیر بود !
-
[URL="http://forum.persiannetworks.com/member.php?u=11057"]OmReMo[/URL] عزیز
شما نوشتید
[quote]هر نظری می تونه کمک کنه . ممنونم .[/quote]
alux هم نظرشو نوشته..پس یا اون اشتباست یا این......
اینجا هم فروم هست و برای بحث..اگر قرار بود همه چیز به جواب برسه که اسمشو یه چیز دیگه میزاشتن
در ضمن این نوشته آخرتون ادبیات خوبی نداره و پر از کنایه هست و تنها کسی که 2 روزه با اینترنت آشنا شده و میخواد خودشو مطرح کنه جواب بهتون میده
من خیلی دوست دارم خودم و مطرح کنم ولی حیف که جوابشو بلد نیستم!!!
-
آقا سوتفاهم نشه . من دست همتونو می بوسم و کوچیکه همتون هم هستم . اصلا چنین قصدی نداشتم . شاید راه نیافتدن این Samba کلافم کرده . ولی اصلا قصد توهین یا کنایه نداشتم . فقط می خواستم با عبارت آقا برو گوگل جستجو کن مواجه نشم . چون 3 روزه دارم این کارو می کنم و از ریخته گوگل حالم بهم می خوره ( این قصد من از نوشتن خط آخر بود نه کنایه ) به هرحال عذر می خوام ولی فکر کنم بد هم نباشه کسایی هم که جواب می دن یه خورده دقیق تر بخونن چون با هزار امید پست را باز می کنی و هیچی ......
:) ممنونم و هنوز منتظر کمک بزرگان
-
با سلام و عرض ادب
متاسفانه منظور آقای بهروزی عزیز را متوجه نشدم ولی انشاالله که بنده هم قصد مطرح کردن خود را ندارم !!!
آقای بهروزی و علیرضای عزیز از اساتید بسیار محترم و باتجربه و با سواد این انجمن هستند و من و دیگر دوستان همیشه از تجربیات ایشان استفاده کردیم و خواهیم کرد ...
در مورد مشکل شما ظاهرا عضویت صورت گرفته با توجه به پیغامی که به شما داده است : ads_add_machine_acct:
Host account for cache already exists - modifying old account
با استفاده از دستورات زیر یکبار ماشین را از دامین خارج کنید و مجددا سعی کنید :
[LEFT]net ads[COLOR=Red] leave[/COLOR] -U administrator%yourpass -S winserver.yourdomain.com
(this is my output from my linux machine ...
Removed 'SAMBA-DOMAIN' from realm 'SUPER-DOMAIN.COM'
net ads[COLOR=Red] join[/COLOR] -U administrator%yourpass -S winserver.yourdomain.com
Joined 'SAMBA-DOMAIN' To realm 'SUPER-DOMAIN.COM'
[RIGHT]در صورتیکه با دستورات فوق مشکل حل نشد لطفا خروجی دستورات زیر را اینجا بگذارید :
[LEFT][code]
[root@samba-server ~]#[COLOR=Red] net ads testjoin
Join is OK[/COLOR]
[root@samba-server ~]# [COLOR=Red]net ads info[/COLOR]
LDAP server: 192.168.0.1
LDAP server name: uranium-server
Realm: SUPER-DOMAIN.COM
Bind Path: dc=SUPER-DOMAIN,dc=COM
LDAP port: 389
Server time: Fri, 20 Jul 2007 23:21:46 GMT
KDC server: 192.168.0.1
Server time offset: 238
[root@samba-server ~]#[COLOR=Red] net ads lookup[/COLOR]
Information for Domain Controller: uranium-server
Response Type: SAMLOGON
GUID: 779e3ed8-b878-4249-a413-b896f0bfee14
Flags:
Is a PDC: yes
Is a GC of the forest: yes
Is an LDAP server: yes
Supports DS: yes
Is running a KDC: yes
Is running time services: yes
Is the closest DC: yes
Is writable: yes
Has a hardware clock: yes
Is a non-domain NC serviced by LDAP server: no
Forest: super-domain.com
Domain: super-domain.com
Domain Controller: uranium-server.super-domain.com
Pre-Win2k Domain: SUPER-DOMAIN
Pre-Win2k Hostname: URANIUM-SERVER
Site Name: Default-First-Site-Name
Site Name (2): Default-First-Site-Name
NT Version: 5
LMNT Token: ffff
LM20 Token: ffff
[root@samba-server ~]# [COLOR=Red]net ads group[/COLOR]
HelpServicesGroup
TelnetClients
IIS_WPG
__vmware__
Administrators
Users
Guests
Print Operators
Backup Operators
Replicator
Remote Desktop Users
Network Configuration Operators
Performance Monitor Users
Performance Log Users
Distributed COM Users
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Cert Publishers
Domain Admins
Domain Users
Domain Guests
Group Policy Creator Owners
RAS and IAS Servers
Server Operators
Account Operators
Pre-Windows 2000 Compatible Access
Incoming Forest Trust Builders
Windows Authorization Access Group
Terminal Server License Servers
DnsAdmins
DnsUpdateProxy[/code][RIGHT]تنها دستور اول برای بررسی صحت عملیات شما کافیست ولی در صورتیکه جواب مثبت گرفتید و همچنان مشکل پا برجا بود دستورات دیگر را ادامه دهید و خروجی را اینجا بگذارید
در آخر داخل AD چک کنید و ببینید آیا ماشین به دامین اضافه شده یا خیر ؟
موفق و پیروز باشید ...
[/RIGHT]
[/LEFT]
[/RIGHT]
[/LEFT]
-
آقای نکوئی از جوابتون ممنونم .
[code]
[LEFT][root@cache ~]#[COLOR=red] net ads testjoin[/COLOR]
Join is OK[/LEFT]
[LEFT][root@cache ~]# [COLOR=red]net ads info[/COLOR]
LDAP server: 192.168.0.254
LDAP server name: winserver
Realm: MYDOMAIN.COM
Bind Path: dc=MYDOMAIN,dc=COM
LDAP port: 389
Server time: Fri, 20 Jul 2007 22:12:53 IRDT
KDC server: 192.168.0.254
Server time offset: 41401[/LEFT]
[LEFT][root@cache ~]# [COLOR=red]net ads lookup[/COLOR]
Information for Domain Controller: winserver
Response Type: SAMLOGON
GUID: 0c4f3c20-8535-427e-bcf6-50f239714780
Flags:
Is a PDC: yes
Is a GC of the forest: yes
Is an LDAP server: yes
Supports DS: yes
Is running a KDC: yes
Is running time services: yes
Is the closest DC: yes
Is writable: yes
Has a hardware clock: yes
Is a non-domain NC serviced by LDAP server: no
Forest: mydomain.com
Domain: mydomain.com
Domain Controller: winserver.mydomain.com
Pre-Win2k Domain: MYDOMAIN0
Pre-Win2k Hostname: WINSERVER
Site Name: Default-First-Site-Name
Site Name (2): Default-First-Site-Name
NT Version: 5
LMNT Token: ffff
LM20 Token: ffff[/LEFT]
[/code]
ولی net ads group الان 40 دقیقه است که جوابی نمیده . ایراد نمی گیره ولی همین جور داره فکر می کنه مثله دستور net ads join در مرحله قبل
[code]
[LEFT][root@cache ~]# wbinfo -g
Error looking up domain groups[/LEFT]
[/code]
اگر ممکنه یک راهنمایی دیگر هم می خوام بجز smb.conf و krb5.conf و حالا تنظیمات NAmeRosolution فایل دیگری هم می خواد کانفیگ کرد ؟
-
kerberos
من قبلا با این مشکل برخورد کرده بودم . مشکل از kerberos هست . شما Event Viewr ویندوز را چک کن ( قسمت system ) .
-
می بخشید انگار من تند رفتم...دیشب با یه بچه پرو حرف بود که 50 سوال برام فرستاده انتظار داره من جوابشو بدم...اول استاد مستاد شروع میکنن بعد میخوان سواد ادم و زیر سوال ببرن , فکر میکنن با این کارا جواب گیرشون میاد
اما شما فایل /etc/nsswitch.conf
رو تغییر دادی برای winbind اینجوری
[LEFT]passwd: compat winbind
group: compat winbind
shadow: compat winbind
[RIGHT]برای من که اینجوری نتیجه میده
[url=http://img.majidonline.com/pic/103009/1.gif][img]http://img.majidonline.com/thumb/103009/1.gif[/img][/url]
در ضمن برای سرورntp میتونید از خود win2003استفاده کیند
[/RIGHT]
[/LEFT]
-
نه nsswitch.conf را تغییر نداده بودم ولی تغییر آن هم بی فایده بود . تا مرحله join کردن که فکر نکنم به nsswitch نیازی باشه ؟
مثله اینکه همانطور که آقای مهاجرانی گفتن مشکل از kerberos هست . چون در event viewr ویندوز 2003 وقتی فرمان net ads join ... را می زنم و جوابی نمی گیریم همچین ایرادی درج میشه :
[CODE]
[LEFT]While processing a TGS request for the target server cifs/cache,
the account [EMAIL="CACHE$@MYDOMAIN.COM"]CACHE$@MYDOMAIN.COM[/EMAIL] did not have a suitable key for generating a Kerberos ticket
(the missing key has an ID of 8). The requested etypes were 2.
The accounts available etypes were 23 -133 -128 3 1.
For more information, see Help and Support Center at [/LEFT]
[/CODE]
:wacko: خوب لا اقل الان می دونم مشکل از کجاس ؟؟
آقای بهروزی می تونم ازتون خواهش کنم krb5.conf را اینجا بزارین . واقعا ممنون میشم.
-
پس این join ok مال کیه؟
[LTR][LEFT] [logging]
default = FILE:/var/log/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = TEST.RB
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
TEST.RB = {
kdc = server1.test.rb
admin_server = server1.test.rb
default_domain = test.rb
}
[domain_realm]
.test.rb = TEST.RB
test.rb = TEST.RB
[/LEFT]
[/LTR]