Если перед настройкой на Active Directory менялось имя хоста (например, системный блок поставлялся с предустановленой системой) - пользователь домена аутентифицироваться не сможет, даже если все настройки указаны верно. journalctl показывает, как хост пытается получить билет по прежнему имени хоста, которое было до смены. А учётная запись хоста в домене создавалась уже на новое. Рабочая станция придёт в норму, если вручную удалить /etc/krb5.keytab и перезагрузиться - krb5.keytab при старте запишется заново на новое имя хоста. Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам.
Очень странное описание. Я не могу его понять. У нас имеется проблема смены хоста для иксов. Если произошла смена хоста, то иксы, требуется перезагрузить. У винды похожее поведение - если на машине прозошла смена хоста, то требуется перезагрузка. krb5.keytab - это кеш с паролями для учётных записей, которые привязаны к имени хоста: [sin@tor ~]$ sudo klist -k [sudo] password for sin: Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET Имя хоста нельзя просто так менять. Если произошла смена имени хоста, машину нужно перевводить в домен, что означает, по сути создание новых записей в krb5.keytab. Причём для этого требуются администраторские права в домене. Просто перезагрузки недостаточно. При этом, если у нас машина была в домене, то перевведение её в домен штатными внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не предусмотрено.
> (например, системный блок поставлялся с предустановленой системой) Обычно в этой ситуации /etc/krb5.keytab отсутвует. Откуда он может взяться? > Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам. А какой был предыдущий вид аутентификации?
(В ответ на комментарий №2) > А какой был предыдущий вид аутентификации? Предположительно, Альт-домен. Затем тестируемый был некоторое время выключен. Затем подключение к домену Samba 4 и - отказ аутентификации.
(В ответ на комментарий №1) > Если произошла смена хоста, то иксы, требуется перезагрузить. > У винды похожее поведение - если на машине прозошла смена хоста, то требуется > перезагрузка. Разумеется. При смене реквизитов выходит сообщение о необходимости перезагрузки, и это правильно. И она производилась, полная перезагрузка, без положительного результата - о чём и бага. > При этом, если у нас машина была в домене, то перевведение её в домен штатными > внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не > предусмотрено. Понятно. Тогда предложение по улучшению: предусмотреть возможность перевведения в домен штатными внутренними средствами Альт, чтобы Альты по удобству использования были лучше прочих Linux-клиентов.
