Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 2817 views
  • Users 0 members are here
Options
Suggested

[7.480][QUESTION][ANSWERED] 7.480 - Joining A/D not possible Windows 2008

BertJanssen
hi,

just tried to configure SSO active directory this is not working anymore
- dns settings are correct can also ping the domain name and the domain controller
- Time settings are correct.
- username and password are correct because ldap is working fine.

in the log files at the astaro is nothing to see also in the windows log files i don't see any attempt to logon
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.480 
    Type: QUESTION
    State: ANSWERED
    Reporter: BERT
    Contributor: 
    MantisID:  
    --------------------------------
  • 0
    have you installed on your Domain-Controller NIS for UNIX?
  • 0
    since when is this nessecary in the 7.406 version this wasn't neccesary.

    i've tried is with nis and without no result still not able to connect
  • 0 in reply to BertJanssen
    Same problem here. 

    We also tried Bind User DN instead of just Administrator user name, but to no avail.

    We do notice the following entry in fallback.log everytime we try:

    2009:08:15-12:18:53 ******x [user:err] net: [2009/08/15 12:18:53, 0] libsmb/cliconnect.c:cli_session_setup_spnego(859)
    2009:08:15-12:18:53 ******x [user:err] net:   Kinit failed: Clock skew too great

    *EDIT* Problem solved. Check your time zones and time sync. We had a wrong timezone on one of our Domain controllers (while the diplayed time was the same on all servers), which explaines above error. Astaro and domain controllers either have to be in the same time zone with the same date/time or in different timezone, but with time synced on UTC.
  • 0
    you also need to make sure that your astaro has the correct domain name, such as company.local. That worked for me!
  • 0
    O, how we figured it out [;)]

    Open a ssh session to astaro, login in as loginuser and su to root (has to be enabled in webadmin)
    go to /var/log
    grep -i  *.log

    That's how we found the log containing the error which helped identify the problem
  • 0
    I was having the same problem.  But my logs were a little different.  

    2009:08:15-16:48:36 fw1 [user:err] net: [2009/08/15 16:48:36, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    2009:08:15-16:48:36 fw1 [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!
    2009:08:15-16:48:37 fw1 [user:err] net: [2009/08/15 16:48:37, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    2009:08:15-16:48:37 fw1 [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!


    Turns out that I needed to set the hostname of the firewall to something that would resolve in public dns to the external interface.  Just in case this helps someone else.
  • 0
    Hi Bert,

    can you please post your hostname (should be a FQDN) and dns records for the domain, please check also if the hosts are reachable via ping :

    host -t SRV _ldap._tcp.dc._msdcs.MYDOMAIN.LOCAL
    host -t SRV _kerberos._udp.MYDOMAIN.LOCAL
  • 0
    hostname fw.egberink.lan


    fw:/root # host -t SRV _ldap._tcp.dc._msdcs.egberink.lan
    _ldap._tcp.dc._msdcs.egberink.lan has SRV record 0 100 389 barbapapa.egberink.lan.
    fw:/root # host -t SRV _kerberos._udp.egberink.lan                              _kerberos._udp.egberink.lan has SRV record 0 100 88 barbapapa.egberink.lan.


    fw:/var/log # 2009:08:19-15:58:06 fw [user:err] net: [2009/08/19 15:58:06, 0] libsmb/cliconnect.c:cli_session_setup_spnego(859)
    fw:/var/log # 2009:08:19-15:58:06 fw [user:err] net:   Kinit failed: Clock skew too great
    fw:/var/log # 2009:08:19-15:58:06 fw [user:err] net: [2009/08/19 15:58:06, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    fw:/var/log # 2009:08:19-15:58:06 fw [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!
    > 2009:08:19-15:58:06 fw [user:err] net: [2009/08/19 15:58:06, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    > 2009:08:19-15:58:06 fw [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!

    this is all i get

    thanx
  • 0
    this is the second time i tried it.

    2009:08:19-15:45:43 fw [user:err] net: [2009/08/19 15:45:43, 0] libsmb/cliconnect.c:cli_session_setup_spnego(859)
    2009:08:19-15:45:43 fw [user:err] net:   Kinit failed: Clock skew too great
    2009:08:19-15:45:43 fw [user:err] net: [2009/08/19 15:45:43, 0] libads/ldap.c:ads_get_dnshostname(2855)
    2009:08:19-15:45:43 fw [user:err] net:   ads_get_dnshostname: No dNSHostName attribute!
    2009:08:19-15:45:43 fw [user:err] net: [2009/08/19 15:45:43, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    2009:08:19-15:45:43 fw [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!
    2009:08:19-15:45:43 fw [user:err] net: [2009/08/19 15:45:43, 0] libads/ldap.c:ads_get_dnshostname(2855)
    2009:08:19-15:45:43 fw [user:err] net:   ads_get_dnshostname: No dNSHostName attribute!
    2009:08:19-15:45:43 fw [user:err] net: [2009/08/19 15:45:43, 0] libads/kerberos_keytab.c:ads_keytab_add_entry(291)
    2009:08:19-15:45:43 fw [user:err] net:   ads_keytab_add_entry: unable to determine machine account's dns name in AD!
Unfiltered HTML