Kerberos. Unable to obtain service ticket. Проблемы монтирования сетевой samba в ALD.

Kaktus

New member
Сообщения
30
#1
Приветствую.
В процессе разворачивания на стенде доменной самба-шары мне пришлось переустановить на одном из АРМ Астру. Удалил после этого из доменной политики на домен-сервере юзеров этого АРМ, сам АРМ, выполнил ald-client join после настройки конфигов домена. И как-то с трудом, перезапуская периодами сервис aldd (пропадают доменные юзеры из getent shadow, например после первой загрузки утром) войти в доменную учетную запись удалось. При чем на сервере пользователь создался без проблем, компьютер увиделся, юзера в привилегиях привязал, но вот войти в учетную запись удалось только после выставления значения LOCAL в типе файловой системы.
Это все ничего, вот только после настройки "Автоматическое монтирование ресурсов при входе пользователя с помощью pam_mount" на этом клиенте, само монтирование не происходит, ошибки приложу ниже.
Пользователь newuser - новый доменный юзер, АРМ которого переустановили .
Пользователь astra - доменный юзер второго АРМ, у которого монтирование доменной шары срабатывает сразу с авторизацией на АРМ.
FQDN нашего домена пусть будет our.domain.name
ИМХО - дело в дебрях кешей Керберос....ПРи чем если я сделаю
#kinit newuser#klist#kdestroy
То команды отработают, билет для newuser выдается. Но вот при получении "сервисного" ошибка.
May 4 15:43:59 arm1 fly-dm: :0[9885]: pam_unix(fly-dm:session): session opened for user newuser by (uid=0)
May 4 15:43:59 arm1 cifs.upcall: key description: cifs.spnego;0;0;39010000;ver=0x2;host=192.168.1.1;ip4=192.168.1.1;sec=krb5;uid=0x0;creduid=0x9c6;user=newuser ;pid=0x26cb
May 4 15:43:59 arm1 cifs.upcall: ver=2
May 4 15:43:59 arm1 cifs.upcall: host=192.168.1.1
May 4 15:43:59 arm1 cifs.upcall: ip=192.168.1.1
May 4 15:43:59 arm1 cifs.upcall: sec=1
May 4 15:43:59 arm1 cifs.upcall: uid=0
May 4 15:43:59 arm1 cifs.upcall: creduid=2502
May 4 15:43:59 arm1 cifs.upcall: user=newuser
May 4 15:43:59 arm1 cifs.upcall: pid=9931
May 4 15:43:59 arm1 cifs.upcall: find_krb5_cc: scandir error on directory '/run/user/2502': No such file or directory
May 4 15:43:59 arm1 cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_2502_BcV0CV
May 4 15:43:59 arm1 cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_2502_BcV0CV is valid ccache
May 4 15:43:59 arm1 cifs.upcall: handle_krb5_mech: getting service ticket for 192.168.1.1
May 4 15:43:59 arm1 cifs.upcall: cifs_krb5_get_req: unable to get credentials for 192.168.1.1
May 4 15:43:59 arm1 cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377)
May 4 15:43:59 arm1 cifs.upcall: Unable to obtain service ticket
May 4 15:43:59 arm1 cifs.upcall: Exit status -1765328377
May 4 15:43:59 arm1 fly-dm: :0[9885]: (mount.c:72): Messages from underlying mount program:
May 4 15:43:59 arm1 fly-dm: :0[9885]: (mount.c:76): mount error(126): Required key not available
May 4 15:43:59 arm1 fly-dm: :0[9885]: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
May 4 15:43:59 arm1 fly-dm: :0[9885]: (pam_mount.c:522): mount of samba failed
May 4 15:43:59 arm1 kernel: [ 3080.021762] CIFS VFS: Send error in SessSetup = -126
May 4 15:43:59 arm1 kernel: [ 3080.021767] CIFS VFS: cifs_mount failed w/return code = -126
May 4 15:43:59 arm1 fly-dm: :0[9885]: GSSAPI client step 1
May 4 15:43:59 arm1 fly-dm: :0[9885]: GSSAPI client step 2
May 4 15:43:59 arm1 systemd[1]: Created slice User Slice of newuser.
May 4 15:43:59 arm1 systemd[1]: Starting User Manager for UID 2502...
May 4 15:43:59 arm1 systemd-logind[611]: New session 63 of user newuser.
May 4 15:43:59 arm1 systemd[1]: Started Session 63 of user newuser.
May 4 15:43:59 arm1 systemd: pam_tally(systemd-user:account): option per_user allowed in auth phase only
May 4 15:43:59 arm1 systemd: pam_tally(systemd-user:account): option deny=3 allowed in auth phase only
May 4 15:43:59 arm1 systemd: pam_ald(systemd-user:account): Failed to obtain Kerberos credential cache name.
May 4 15:43:59 arm1 systemd[9947]: user@2502.service: Failed at step PAM spawning /lib/systemd/systemd: Operation not permitted
May 4 15:43:59 arm1 systemd[1]: Started User Manager for UID 2502.

May 4 16:01:07 arm2 fly-dm: :1[3667]: pam_unix(fly-dm:session): session opened for user astra by (uid=0)
May 4 16:01:07 arm2 cifs.upcall: key description: cifs.spnego;0;0;39010000;ver=0x2;host=192.168.1.1;ip4=192.168.1.1;sec=krb5;uid=0x0;creduid=0x9c8;user=astra;pid=0xe92
May 4 16:01:07 arm2 cifs.upcall: ver=2
May 4 16:01:07 arm2 cifs.upcall: host=192.168.1.1
May 4 16:01:07 arm2 cifs.upcall: ip=192.168.1.1
May 4 16:01:07 arm2 cifs.upcall: sec=1
May 4 16:01:07 arm2 cifs.upcall: uid=0
May 4 16:01:07 arm2 cifs.upcall: creduid=2504
May 4 16:01:07 arm2 cifs.upcall: user=astra
May 4 16:01:07 arm2 cifs.upcall: pid=3730
May 4 16:01:07 arm2 cifs.upcall: find_krb5_cc: scandir error on directory '/run/user/2504': No such file or directory
May 4 16:01:07 arm2 cifs.upcall: find_krb5_cc: considering /tmp/krb5cc_2504_n88Aaa
May 4 16:01:07 arm2 cifs.upcall: find_krb5_cc: FILE:/tmp/krb5cc_2504_n88Aaa is valid ccache
May 4 16:01:07 arm2 cifs.upcall: handle_krb5_mech: getting service ticket for 192.168.1.1
May 4 16:01:07 arm2 cifs.upcall: cifs_krb5_get_req: unable to get credentials for 192.168.1.1
May 4 16:01:07 arm2 cifs.upcall: handle_krb5_mech: failed to obtain service ticket (-1765328377)
May 4 16:01:07 arm2 cifs.upcall: ip_to_fqdn: resolved 192.168.1.1 to our.domain.name
May 4 16:01:07 arm2 cifs.upcall: handle_krb5_mech: getting service ticket for our.domain.name
May 4 16:01:07 arm2 cifs.upcall: handle_krb5_mech: obtained service ticket
May 4 16:01:07 arm2 cifs.upcall: Exit status 0