صفحه 1 از 2 1 2 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 20

موضوع: Clock Skew too great

  
  1. #1


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19

    Clock Skew too great

    سلام

    برای join کردن یک کلاین لینوکس به Wndows 2003 Active Directory تنظیمات لازم در smb.conf و krb5.conf را انجام دادم و حالا با اجرای دستور
    net ads join -S myADSErvermachinname.REALM -U administrator%mypassword
    ( البته با REALM خودم و آدرس ماشین خودم . )
    به ایراد بر می خورم :

    Clock Skew too greate
    این ایراد زمان تولید کلید توسط kerberous server پیش می یاد و وقتی که اختلاف زمانی بین سرور و کلاینت بیشتر از حد معمول باشه . ولی من زمان لینوکس را با دستور ntpdate - u 192.168.0.1
    ( 192.168.0.1 =WIN 2003 ) و اختلاف زمانی اونها کمتر از چند ثانیه هست ولی بازم این ایراد برطرف نشده .



    لازم به ذکره که کامپیوتر لینوکس به Active Directory من اضافه شده پس بسیار بعید می دونم کانفیک samba و krb5.conf من اشباه باشه .

    هر نظری می تونه کمک کنه . ممنونم .




    موضوعات مشابه:

  2. #2
    نام حقيقي: Alireza HBB

    عضو غیر فعال شناسه تصویری Alux
    تاریخ عضویت
    Jan 2006
    محل سکونت
    Tehran
    نوشته
    1,492
    سپاسگزاری شده
    286
    سپاسگزاری کرده
    399
    Note

    Time between the two servers must be synchronized. You will get a “kinit(v5): Clock skew too great while getting initial credentials” if the time difference (clock skew) is more than five minutes.
    Clock skew limits are configurable in the Kerberos protocols. The default setting is five minutes



    کد:
    http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html
    Another One

    . Clock synchronization Ensure Clock synchronization between your Fedora Core 6, DNS Server(if available) & Windows 2003 Server. If the server and client clocks are different by more than 5 minutes(default amount in Kerberos 5), Kerberos clients(FC6) can not authenticate to the server. This clock synchronization is necessary to prevent an attacker from using an old Kerberos ticket to masquerade as a valid user. It’s advisable to setup a Network Time Protocol (NTP compatible client/server network. Check ntp.org for more informations
    .






  3. #3


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    عزیز ممنونم که می خواین سریع جواب بدین ولی یه خورده پست من را دقیق تر بخونید می فهمید که شما حرف های منو تکرار کردی و راه حلی پیشنهاد ندادید.

    اگر به تصویردقت کنید اختلاف زمانی بین کلاینت و سرور من کمتر از چند ثانیه است نه 5 دقیقه

    اگر این لینک یا همچین لینک هایی را مطالعه نکرده بودم چه جوری می تونستم به این مرحله برسم ؟ با توجه به اینکه این لینک کاملا general است و به طور اختصاصی به مشکل من اشاره نکرده .



    بازم ممنونم ولی من از جواب شما استفاده ای نکردم .



  4. #4


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    خوب مشکل clock Skew حل شد . یا اجرای سرویس ntp در لینوکس و در نتیجه update شدن تاریخ به صورت اتوماتیک توسط خود سیستم .
    service ntpd start

    برای چک کردن فقط کافیه دستور kinit administrator@REALM را بزنید اگر بدن ایراد clock skew به پرمپت برگشتید همه چیز خوب کار می کنه .

    -------------------------------------------------------------------------------------------

    حالا با یک مشکله دیگه مواجه شدم همه چیز به نظر درست میرسه و با اجرای دستور دارم :

    root@cache ~]# net ads join -U administrator%mypassword -S winserver.mydomain.com
    2007/07/21 02:51:34, 0] libads/ldap.c:ads_add_machine_acct(1414)
    ads_add_machine_acct: Host account for cache already exists - modifying old account
    Using short domain name -- MYDOMAIN0

    الان باید join کنه . همه چیز درست بنظر می رسه ایرادی نمی گیره ولی جوابی دریافت نمی کنم ( الان 1 ساعت هست منتظرم تا دستور جواب بده )

    کسانی که تا حالا این کارو انجام دادن به این چنین مشکلی بر خوردن ؟


    linux machine ---------------------> 192.168.0.20-------------> cache.linux.com
    windows server machine-------------> 192.168.0.254------------> winserver.mydomian.com


    ااین هم خروجی Tcpdump شاید کمک کنه

    سرویس iptables استاپ هست . و Selinux غیرفعال

    [root@cache ~]# tcpdump -t host 192.168.0.254
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
    IP 192.168.0.20.32944 > 192.168.0.254.domain: 65418+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.20.32945 > 192.168.0.254.domain: 26130+ PTR? 254.0.168.192.in-addr.arpa. (44)
    IP 192.168.0.254.domain > 192.168.0.20.32944: 47843 ServFail 0/0/0 (47)
    IP 192.168.0.20.32946 > 192.168.0.254.domain: 36290+ A? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32946: 36290* 1/0/0 A 192.168.0.254 (53)
    IP 192.168.0.20.32946 > 192.168.0.254.domain: 3985+ AAAA? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32946: 3985* 0/1/0 (83)
    IP 192.168.0.20.32946 > 192.168.0.254.domain: 24480+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.20.32945 > 192.168.0.254.domain: 26130+ PTR? 254.0.168.192.in-addr.arpa. (44)
    IP 192.168.0.20.32946 > 192.168.0.254.domain: 24480+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.20.32947 > 192.168.0.254.domain: 26574+ PTR? 20.0.168.192.in-addr.arpa. (43)
    IP 192.168.0.254.domain > 192.168.0.20.32944: 65418 ServFail 0/0/0 (47)
    IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32944 unreachable, length 83
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 45473+ A? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32948: 45473* 1/0/0 A 192.168.0.254 (53)
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 627+ AAAA? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32948: 627* 0/1/0 (83)
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 13895+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.20.32947 > 192.168.0.254.domain: 26574+ PTR? 20.0.168.192.in-addr.arpa. (43)
    IP 192.168.0.254.domain > 192.168.0.20.32945: 26130 ServFail 0/0/0 (44)
    IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32945 unreachable, length 80
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 13895+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.254.domain > 192.168.0.20.32946: 24480 ServFail 0/0/0 (47)
    IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32946 unreachable, length 83
    arp who-has 192.168.0.254 tell 192.168.0.20
    arp reply 192.168.0.254 is-at 00:0c:29:0f:90:c7 (oui Unknown)
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 37879+ A? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32948: 37879* 1/0/0 A 192.168.0.254 (53)
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 57704+ AAAA? winserver.mydomain.com. (37)
    IP 192.168.0.254.domain > 192.168.0.20.32948: 57704* 0/1/0 (83)
    IP 192.168.0.20.32948 > 192.168.0.254.domain: 19362+ AAAA? winserver.mydomain.com.linux.com. (47)
    IP 192.168.0.254.domain > 192.168.0.20.32947: 26574 ServFail 0/0/0 (43)
    IP 192.168.0.20 > 192.168.0.254: ICMP 192.168.0.20 udp port 32947 unreachable, length 79




  5. #5
    نام حقيقي: Alireza HBB

    عضو غیر فعال شناسه تصویری Alux
    تاریخ عضویت
    Jan 2006
    محل سکونت
    Tehran
    نوشته
    1,492
    سپاسگزاری شده
    286
    سپاسگزاری کرده
    399
    دوست عزیز من لینک بالا رو به عمد دادم تا بهتون بگم که دلیل مشکل شما چیزی جز همون اختلاف تایم نیست

    درسته اختلاف شما کمتر از چند ثانیه بود ولی دیدین که ....
    خوب مشکل clock Skew حل شد یا اجرای سرویس ntp در لینوکس و در نتیجه update شدن تاریخ به صورت اتوماتیک توسط خود سیستم
    موفق باشید



  6. #6


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    Clock Skew too greate
    این ایراد زمان تولید کلید توسط kerberous server پیش می یاد و وقتی که اختلاف زمانی بین سرور و کلاینت بیشتر از حد معمول باشه . ولی من زمان لینوکس را با دستور ntpdate - u 192.168.0.1
    ( 192.168.0.1 =WIN 2003 ) و اختلاف زمانی اونها کمتر از چند ثانیه هست ولی بازم این ایراد برطرف نشده .
    این قسمتی از پست اول منه که دقیقا گفتم مشکل از اختلاف زمانی هست . پس نیازی به تکرار مجدد نبود.

    اگر شما این کار قبلا کرده بودین و می دونستین مشکل از ntp هست ممنون می شدم به عمد این لینک را معرفی نمی کردین و فقط یک کلمه می نوشتین ntp (خودتون لینک را خوندین ؟ اونجا حتی اسمی از ntp نیاورده )

    به هر حال باز هم از اینکه می خواین کمک کنید ممنونم .

    و خوشحال می شم نظرتون را در مورد مشکلی که در پست قبلیم مطرح کردم و هیچ ایده ای برای برطرف کردن اون ندارم بشنوم .

    در ضمن این پست را هم خوندم به نظر می رسه آقای نکویی قبلا همچین کاری کردن . ممنون میشم لطف کنن و من را راهنمایی کنن . ( خوب من به اندازه کافی سرچ کردم شاید الان بخواین تجربیاتتون را به اشتراک بزارین )



  7. #7
    نام حقيقي: Alireza HBB

    عضو غیر فعال شناسه تصویری Alux
    تاریخ عضویت
    Jan 2006
    محل سکونت
    Tehran
    نوشته
    1,492
    سپاسگزاری شده
    286
    سپاسگزاری کرده
    399
    آقا من معذرت می خوام که شما رو گمراه کردم، نیت خیر بود !



  8. #8
    نام حقيقي: Reza Behroozi

    عضو غیر فعال شناسه تصویری ahuray_mazdaa
    تاریخ عضویت
    Jun 2005
    محل سکونت
    Shiraz
    نوشته
    1,154
    سپاسگزاری شده
    227
    سپاسگزاری کرده
    115
    OmReMo عزیز
    شما نوشتید
    هر نظری می تونه کمک کنه . ممنونم .
    alux هم نظرشو نوشته..پس یا اون اشتباست یا این......
    اینجا هم فروم هست و برای بحث..اگر قرار بود همه چیز به جواب برسه که اسمشو یه چیز دیگه میزاشتن

    در ضمن این نوشته آخرتون ادبیات خوبی نداره و پر از کنایه هست و تنها کسی که 2 روزه با اینترنت آشنا شده و میخواد خودشو مطرح کنه جواب بهتون میده

    من خیلی دوست دارم خودم و مطرح کنم ولی حیف که جوابشو بلد نیستم!!!



  9. #9


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    آقا سوتفاهم نشه . من دست همتونو می بوسم و کوچیکه همتون هم هستم . اصلا چنین قصدی نداشتم . شاید راه نیافتدن این Samba کلافم کرده . ولی اصلا قصد توهین یا کنایه نداشتم . فقط می خواستم با عبارت آقا برو گوگل جستجو کن مواجه نشم . چون 3 روزه دارم این کارو می کنم و از ریخته گوگل حالم بهم می خوره ( این قصد من از نوشتن خط آخر بود نه کنایه ) به هرحال عذر می خوام ولی فکر کنم بد هم نباشه کسایی هم که جواب می دن یه خورده دقیق تر بخونن چون با هزار امید پست را باز می کنی و هیچی ......


    ممنونم و هنوز منتظر کمک بزرگان



  10. #10
    نام حقيقي: مرتضی نکویی

    عضو عادی شناسه تصویری offers2you
    تاریخ عضویت
    Sep 2004
    محل سکونت
    اصفهان
    نوشته
    268
    سپاسگزاری شده
    56
    سپاسگزاری کرده
    83
    با سلام و عرض ادب
    متاسفانه منظور آقای بهروزی عزیز را متوجه نشدم ولی انشاالله که بنده هم قصد مطرح کردن خود را ندارم !!!
    آقای بهروزی و علیرضای عزیز از اساتید بسیار محترم و باتجربه و با سواد این انجمن هستند و من و دیگر دوستان همیشه از تجربیات ایشان استفاده کردیم و خواهیم کرد ...
    در مورد مشکل شما ظاهرا عضویت صورت گرفته با توجه به پیغامی که به شما داده است : ads_add_machine_acct:
    Host account for cache already exists - modifying old account
    با استفاده از دستورات زیر یکبار ماشین را از دامین خارج کنید و مجددا سعی کنید :
    net ads leave -U administrator%yourpass -S winserver.yourdomain.com
    (this is my output from my linux machine ...
    Removed 'SAMBA-DOMAIN' from realm 'SUPER-DOMAIN.COM'
    net ads join -U administrator%yourpass -S winserver.yourdomain.com

    Joined 'SAMBA-DOMAIN' To realm 'SUPER-DOMAIN.COM'

    در صورتیکه با دستورات فوق مشکل حل نشد لطفا خروجی دستورات زیر را اینجا بگذارید :
    کد:
    [root@samba-server ~]# net ads testjoin
    Join is OK
    
    
    [root@samba-server ~]# net ads info
    LDAP server: 192.168.0.1
    LDAP server name: uranium-server
    Realm: SUPER-DOMAIN.COM
    Bind Path: dc=SUPER-DOMAIN,dc=COM
    LDAP port: 389
    Server time: Fri, 20 Jul 2007 23:21:46 GMT
    KDC server: 192.168.0.1
    Server time offset: 238
    
    
    [root@samba-server ~]# net ads lookup
    Information for Domain Controller: uranium-server
    
    Response Type: SAMLOGON
    GUID: 779e3ed8-b878-4249-a413-b896f0bfee14
    Flags:
            Is a PDC:                                   yes
            Is a GC of the forest:                      yes
            Is an LDAP server:                          yes
            Supports DS:                                yes
            Is running a KDC:                           yes
            Is running time services:                   yes
            Is the closest DC:                          yes
            Is writable:                                yes
            Has a hardware clock:                       yes
            Is a non-domain NC serviced by LDAP server: no
    Forest:                 super-domain.com
    Domain:                 super-domain.com
    Domain Controller:      uranium-server.super-domain.com
    Pre-Win2k Domain:       SUPER-DOMAIN
    Pre-Win2k Hostname:     URANIUM-SERVER
    Site Name:              Default-First-Site-Name
    Site Name (2):          Default-First-Site-Name
    NT Version: 5
    LMNT Token: ffff
    LM20 Token: ffff
    
    
    [root@samba-server ~]# net ads group
    HelpServicesGroup
    TelnetClients
    IIS_WPG
    __vmware__
    Administrators
    Users
    Guests
    Print Operators
    Backup Operators
    Replicator
    Remote Desktop Users
    Network Configuration Operators
    Performance Monitor Users
    Performance Log Users
    Distributed COM Users
    Domain Computers
    Domain Controllers
    Schema Admins
    Enterprise Admins
    Cert Publishers
    Domain Admins
    Domain Users
    Domain Guests
    Group Policy Creator Owners
    RAS and IAS Servers
    Server Operators
    Account Operators
    Pre-Windows 2000 Compatible Access
    Incoming Forest Trust Builders
    Windows Authorization Access Group
    Terminal Server License Servers
    DnsAdmins
    DnsUpdateProxy
    تنها دستور اول برای بررسی صحت عملیات شما کافیست ولی در صورتیکه جواب مثبت گرفتید و همچنان مشکل پا برجا بود دستورات دیگر را ادامه دهید و خروجی را اینجا بگذارید
    در آخر داخل AD چک کنید و ببینید آیا ماشین به دامین اضافه شده یا خیر ؟
    موفق و پیروز باشید ...




    Alux سپاسگزاری کرده است.

  11. #11


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    آقای نکوئی از جوابتون ممنونم .


    کد:
    [root@cache ~]# net ads testjoin Join is OK
    [root@cache ~]# net ads info LDAP server: 192.168.0.254 LDAP server name: winserver Realm: MYDOMAIN.COM Bind Path: dc=MYDOMAIN,dc=COM LDAP port: 389 Server time: Fri, 20 Jul 2007 22:12:53 IRDT KDC server: 192.168.0.254 Server time offset: 41401
    [root@cache ~]# net ads lookup Information for Domain Controller: winserver Response Type: SAMLOGON GUID: 0c4f3c20-8535-427e-bcf6-50f239714780 Flags: Is a PDC: yes Is a GC of the forest: yes Is an LDAP server: yes Supports DS: yes Is running a KDC: yes Is running time services: yes Is the closest DC: yes Is writable: yes Has a hardware clock: yes Is a non-domain NC serviced by LDAP server: no Forest: mydomain.com Domain: mydomain.com Domain Controller: winserver.mydomain.com Pre-Win2k Domain: MYDOMAIN0 Pre-Win2k Hostname: WINSERVER Site Name: Default-First-Site-Name Site Name (2): Default-First-Site-Name NT Version: 5 LMNT Token: ffff LM20 Token: ffff
    ولی net ads group الان 40 دقیقه است که جوابی نمیده . ایراد نمی گیره ولی همین جور داره فکر می کنه مثله دستور net ads join در مرحله قبل

    کد:
    [root@cache ~]# wbinfo -g Error looking up domain groups
    اگر ممکنه یک راهنمایی دیگر هم می خوام بجز smb.conf و krb5.conf و حالا تنظیمات NAmeRosolution فایل دیگری هم می خواد کانفیگ کرد ؟



  12. #12
    نام حقيقي: امید مهاجرانی

    عضو عادی
    تاریخ عضویت
    Dec 2005
    محل سکونت
    Tehran
    نوشته
    782
    سپاسگزاری شده
    725
    سپاسگزاری کرده
    79

    kerberos

    من قبلا با این مشکل برخورد کرده بودم . مشکل از kerberos هست . شما Event Viewr ویندوز را چک کن ( قسمت system ) .



  13. #13
    نام حقيقي: Reza Behroozi

    عضو غیر فعال شناسه تصویری ahuray_mazdaa
    تاریخ عضویت
    Jun 2005
    محل سکونت
    Shiraz
    نوشته
    1,154
    سپاسگزاری شده
    227
    سپاسگزاری کرده
    115
    می بخشید انگار من تند رفتم...دیشب با یه بچه پرو حرف بود که 50 سوال برام فرستاده انتظار داره من جوابشو بدم...اول استاد مستاد شروع میکنن بعد میخوان سواد ادم و زیر سوال ببرن , فکر میکنن با این کارا جواب گیرشون میاد

    اما شما فایل /etc/nsswitch.conf
    رو تغییر دادی برای winbind اینجوری
    passwd: compat winbind
    group: compat winbind
    shadow: compat winbind
    برای من که اینجوری نتیجه میده



    در ضمن برای سرورntp میتونید از خود win2003استفاده کیند




  14. #14


    عضو غیر فعال شناسه تصویری OmReMo
    تاریخ عضویت
    Nov 2006
    نوشته
    85
    سپاسگزاری شده
    6
    سپاسگزاری کرده
    19
    نه nsswitch.conf را تغییر نداده بودم ولی تغییر آن هم بی فایده بود . تا مرحله join کردن که فکر نکنم به nsswitch نیازی باشه ؟

    مثله اینکه همانطور که آقای مهاجرانی گفتن مشکل از kerberos هست . چون در event viewr ویندوز 2003 وقتی فرمان net ads join ... را می زنم و جوابی نمی گیریم همچین ایرادی درج میشه :

    کد:
    While processing a TGS request for the target server cifs/cache, the account CACHE$@MYDOMAIN.COM did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 2. The accounts available etypes were 23 -133 -128 3 1. For more information, see Help and Support Center at
    خوب لا اقل الان می دونم مشکل از کجاس ؟؟
    آقای بهروزی می تونم ازتون خواهش کنم krb5.conf را اینجا بزارین . واقعا ممنون میشم.



  15. #15
    نام حقيقي: Reza Behroozi

    عضو غیر فعال شناسه تصویری ahuray_mazdaa
    تاریخ عضویت
    Jun 2005
    محل سکونت
    Shiraz
    نوشته
    1,154
    سپاسگزاری شده
    227
    سپاسگزاری کرده
    115
    پس این join ok مال کیه؟

    [logging]
    default = FILE:/var/log/krb5lib.log

    [libdefaults]
    ticket_lifetime = 24000
    clock_skew = 300
    default_realm = TEST.RB
    default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
    default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc

    [realms]
    TEST.RB = {
    kdc = server1.test.rb
    admin_server = server1.test.rb
    default_domain = test.rb
    }


    [domain_realm]
    .test.rb = TEST.RB
    test.rb = TEST.RB




صفحه 1 از 2 1 2 آخرینآخرین

کلمات کلیدی در جستجوها:

windows authorization access group و

Clock skew too great راه حل

kerberos ERROR EVENT ID 4 مشکل

A413 مشکل

linux nsswitch.conf تنظیمات

search in gc the clocks on the client and server machines are skewed

the clock on the client and server machine are skewed

مشکل در لینوکس SERVFAIL

خطا دامین تراست clocks skewed

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •