Samba - Windows-Domainmitgliedschaft -Failed to join domain!

Zunami · 18 Dez. 2006

Ich wollte zum Testen bei uns in der Firma OpenSuse 10.2 installieren fast ohne Probleme. Bei den Windows-Domainmitfliedschaft hat es einen Fehler.

Ich such in dem menüpunkt Windows-Domainmitgliedschaft meine passende domain. alles kein problem. dann hackerl ich noch an
* Zusätzliche SMB-Information für Linux-Authentifierung verwenden
* Home-Verzeichnis bei Anmeldung erstellen
* Offline - Beglaubigung

dann kommt diese Fehlermeldung :evil:

Code:

libsmb/cliconnect.cicli_session_setup_spnegol(786)
   Kinit failed: Clock skew too great
Failed to join domain!

Bei Suse 10.0 und 10.1 hatte ich noch nie probleme bei der Domain. Ich hba den ganzen Samba, Kerbios, und PAM dienst installiert und trotzdem dieser Fehler??? weis jemand Rat???

rolle · 18 Dez. 2006

Tante Google hilft. :evil: Nach Eingabe der Fehlermeldung als Suchbegriff tauchte schnell (2. Treffer auf deutsch) folgende Lösung auf:

# Fehler: Beim Testen der für einen UNIX-Server mit kinit erstellten Chiffrierschlüsseldatei erhalten Sie den Fehler "Clock skew too great while getting initial credentials" (Taktgeberabweichung beim Abrufen von anfänglichen Berechtigungsnachweisen zu groß).

Lösung: Bei Verwendung von Kerberos müssen Sie die Synchronisation der Taktgeber sicherstellen. Wird eine permanente Lösung gewünscht, implementieren eine Art Zeitsynchronisationsservice auf Ihren Systemen. Als temporäre Lösung ist es ausreichend, die Taktgeber auf den Systemen so anzupassen, dass die Taktgeberabweichung kleiner als 1 Minute ist.

aus: http://publib.boulder.ibm.com/tividd/td/ITAME/SC32-1359-00/de_DE/HTML/am51_webseal_guide78.htm

Synchronisiere also erst einmal die Uhren der Rechner, dann klappt es auch mit dem NaCHBARN.

Zunami · 19 Dez. 2006

Haaa hab eine lösung die funkt.

Mein lieber Herr die hilfen wenn man unter google sucht waren beim besten willen nicht auf deutsch! :roll:

die lösung

kinit: Clock skew too great in KDC reply while getting initial credentials

This basically means the clock on you system is too far off from the correct time. Your machine needs to be within 5 minutes of the Kerberos servers in order to get any tickets. You will need to run ntp, or a similar service to keep your clock within the five minute window. If you do not know how to do this then you should contact your system administrator to resolve this. If it is not possible then you can use ssh instead of Kerberos.

Also auf deutsch der Domain Server muss fast die gleiche zeit haben wie der rechner der sich mit dem server verbinden will ( 5 min + oder - ). Ich hab die beiden uhren so ziemlich gleich eingestellt uns es funktioniert. :shock:

Welchem schutz das vorbeugen soll da hab ich keine ahnung. :? finde ich auch sehr idiotisch.

http://www.ncsa.uiuc.edu/UserInfo/Resources/Software/kerberos/troubleshooting.html

rolle · 19 Dez. 2006

Für eine dauerhafte Lösung wäre es schlau, einen Zeitserver zu betreiben, der die offizielle LAN-Zeit publiziert. Alternativ wäre auch die Installation von Zeitserverclients für Internetzeitserver eine Idee.

Welchem schutz das vorbeugen soll da hab ich keine ahnung. Confused finde ich auch sehr idiotisch.

Ich glaube, da geht es weniger um Zugriffsschutz oder dergleichen, sondern darum, daß es immer eine schlechte Idee ist, auf zentrale Datenbanken zuzugreifen, wenn die Zeitstempel nicht übereinstimmen. So etwas kann eine Datenbank schnell korrumpieren.

stummel · 19 Dez. 2006

rolle schrieb:
Für eine dauerhafte Lösung wäre es schlau, einen Zeitserver zu betreiben.......

Den betreibt er ja bereits, ohne es anscheinend zu wissen. Er muß lediglich den DC als NTP-Server auf den Clients eintragen, fertig.

Samba - Windows-Domainmitgliedschaft -Failed to join domain!

Zunami

Newbie

rolle

Guru

Zunami

Newbie

rolle

Guru

stummel

Hacker