У меня проблемы с аутентификацией по AD на компьютерах с Windows от моего ansible хоста. "Сервер не найден в базе данных Kerberos" в Ubuntu 16.10

Question

У меня проблемы с аутентификацией по AD на компьютерах с Windows от моего ansible хоста. "Сервер не найден в базе данных Kerberos" в Ubuntu 16.10

У меня проблемы с аутентификацией по AD на компьютерах с Windows от моего ansible хоста. У меня есть действующий билет Kerberos -

klist
Credentials cache: FILE:/tmp/krb5cc_1000
        Principal: ansible@SOMEDOMAIN.LOCAL

  Issued                Expires               Principal
Mar 10 09:15:27 2017  Mar 10 19:15:24 2017  krbtgt/SOMEDOMAIN.LOCAL@SOMEDOMAIN.LOCAL

Мой конфиг Kerberos выглядит нормально для меня -

cat /etc/krb5.conf
[libdefaults]
        default_realm = SOMEDOMAIN.LOCAL
#       dns_lookup_realm = true
#       dns_lookup_kdc = true
#       ticket_lifetime = 24h
#       renew_lifetime = 7d
#       forwardable = true

# The following krb5.conf variables are only for MIT Kerberos.
#       kdc_timesync = 1
#       forwardable = true
#       proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#       default_tgs_enctypes = des3-hmac-sha1
#       default_tkt_enctypes = des3-hmac-sha1
#       permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
#       v4_instance_resolve = false
#       v4_name_convert = {
#               host = {
#                       rcmd = host
#                       ftp = ftp
#               }
#               plain = {
#                       something = something-else
#               }
#       }
#       fcc-mit-ticketflags = true

[realms]
        SOMEDOMAIN.LOCAL = {
                kdc = prosperitydc1.somedomain.local
                kdc = prosperitydc2.somedomain.local
                default_domain = somedomain.local
                admin_server = somedomain.local
        }
[domain_realm]
        .somedomain.local = SOMEDOMAIN.LOCAL
        somedomain.local = SOMEDOMAIN.LOCAL

При запуске тестовой команды - ansible windows -m win_ping -vvvvv я получил

'Server not found in Kerberos database'.
     ansible windows -m win_ping -vvvvv
    Using /etc/ansible/ansible.cfg as config file
    Loading callback plugin minimal of type stdout, v2.0 from /usr/lib/python2.7/dist-packages/ansible/plugins/callback/__init__.pyc
    Using module file /usr/lib/python2.7/dist-packages/ansible/modules/core/windows/win_ping.ps1
    <kerberostest.somedomain.local> ESTABLISH WINRM CONNECTION FOR USER: ansible@SOMEDOMAIN.LOCAL on PORT 5986 TO kerberostest.somedomain.local
    <kerberostest.somedomain.local> WINRM CONNECT: transport=kerberos endpoint=https://kerberostest.somedomain.local:5986/wsman
    <kerberostest.somedomain.local> WINRM CONNECTION ERROR: authGSSClientStep() failed: (('Unspecified GSS failure.  Minor code may provide more information', 851968), ('Server not found in Kerberos database', -1765328377))
    Traceback (most recent call last):
      File "/usr/lib/python2.7/dist-packages/ansible/plugins/connection/winrm.py", line 154, in _winrm_connect
        self.shell_id = protocol.open_shell(codepage=65001)  # UTF-8
      File "/home/prosperity/.local/lib/python2.7/site-packages/winrm/protocol.py", line 132, in open_shell
        res = self.send_message(xmltodict.unparse(req))
      File "/home/prosperity/.local/lib/python2.7/site-packages/winrm/protocol.py", line 207, in send_message
        return self.transport.send_message(message)
      File "/home/prosperity/.local/lib/python2.7/site-packages/winrm/transport.py", line 181, in send_message
        prepared_request = self.session.prepare_request(request)
      File "/home/prosperity/.local/lib/python2.7/site-packages/requests/sessions.py", line 407, in prepare_request
        hooks=merge_hooks(request.hooks, self.hooks),
      File "/home/prosperity/.local/lib/python2.7/site-packages/requests/models.py", line 306, in prepare
        self.prepare_auth(auth, url)
      File "/home/prosperity/.local/lib/python2.7/site-packages/requests/models.py", line 543, in prepare_auth
        r = auth(self)
      File "/home/prosperity/.local/lib/python2.7/site-packages/requests_kerberos/kerberos_.py", line 308, in __call__
        auth_header = self.generate_request_header(None, host, is_preemptive=True)
      File "/home/prosperity/.local/lib/python2.7/site-packages/requests_kerberos/kerberos_.py", line 148, in generate_request_header
        raise KerberosExchangeError("%s failed: %s" % (kerb_stage, str(error.args)))
    KerberosExchangeError: authGSSClientStep() failed: (('Unspecified GSS failure.  Minor code may provide more information', 851968), ('Server not found in Kerberos database', -1765328377))

    kerberostest.somedomain.local | UNREACHABLE! => {
        "changed": false,
        "msg": "kerberos: authGSSClientStep() failed: (('Unspecified GSS failure.  Minor code may provide more information', 851968), ('Server not found in Kerberos database', -1765328377))",
        "unreachable": true
    }

Я могу SSH к целевой машине

 ssh -v1 kerberostest.somedomain.local -p 5986
OpenSSH_7.3p1 Ubuntu-1, OpenSSL 1.0.2g  1 Mar 2016
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: Applying options for *
debug1: Connecting to kerberostest.somedomain.local [10.10.20.84] port 5986.
debug1: Connection established.

Я также могу пропинговать все хосты с их именем хоста. Я в недоумении:(

Вот файл ANSIBLE хоста

sudo cat /etc/ansible/hosts               
# This is the default ansible 'hosts' file.
#
# It should live in /etc/ansible/hosts
#
#   - Comments begin with the '#' character
#   - Blank lines are ignored
#   - Groups of hosts are delimited by [header] elements
#   - You can enter hostnames or ip addresses
#   - A hostname/ip can be a member of multiple groups

# Ex 1: Ungrouped hosts, specify before any group headers.

## green.example.com
## blue.example.com
## 192.168.100.1
## 192.168.100.10

# Ex 2: A collection of hosts belonging to the 'webservers' group

## [webservers]
## alpha.example.org
## beta.example.org
## 192.168.1.100
## 192.168.1.110

# If you have multiple hosts following a pattern you can specify
# them like this:

## www[001:006].example.com

# Ex 3: A collection of database servers in the 'dbservers' group

## [dbservers]
## 
## db01.intranet.mydomain.net
## db02.intranet.mydomain.net
## 10.25.1.56
## 10.25.1.57

# Here's another example of host ranges, this time there are no
# leading 0s:

## db-[99:101]-node.example.com
[monitoring-servers]
#nagios
10.10.20.75 ansible_connection=ssh ansible_user=nagios

[windows]
#fileserver.somedomain.local#this machine isnt joined to the domain yet.
kerberostest.SOMEDOMAIN.LOCAL


[windows:vars]
#the following works for windows local account authentication
#ansible_ssh_user = prosperity
#ansible_ssh_pass = *********
#ansible_connection = winrm
#ansible_ssh_port = 5986
#ansible_winrm_server_cert_validation = ignore

#vars needed to authenticate on the windows domain using kerberos
ansible_user = ansible@SOMEDOMAIN.LOCAL
ansible_connection = winrm
ansible_winrm_scheme = https
ansible_winrm_transport = kerberos
ansible_winrm_server_cert_validation = ignore

Я также попытался успешно подключиться к домену с помощью realmd, но выполнение команды ansible дало тот же результат.

8

authentication ansible active-directory kerberos spn

Источник

user4621418 10 мар '17 в 16:33

2 ответа

Решение

В моем случае Server not found in Kerberos database ошибка произошла из-за того, что DNS-имя целевой машины Windows не было сопоставлено с правильной областью, как указано в этой строке из этой статьи Microsoft Technet:

Ошибка "Сервер не найден в базе данных Kerberos" является распространенной и может вводить в заблуждение, поскольку часто появляется, когда субъект службы не отсутствует. Ошибка может быть вызвана проблемами сопоставления доменов / областей или может быть результатом проблемы DNS, когда имя участника службы строится неправильно. Журналы сервера и трассировки сети могут использоваться для определения того, какой субъект службы на самом деле запрашивается.

У меня была пьеса whoami.yaml:

- hosts: windows-machine.mydomain.com
  tasks:
  - name: Run 'whoami' command
    win_command: whoami

Файл хостов:

[windows]
windows-machine.mydomain.com

[windows:vars]
ansible_connection=winrm
ansible_winrm_transport=kerberos
ansible_user=user@FOO.BAR.MYDOMAIN.COM
ansible_password=<password>
ansible_port=5985

Поскольку DNS-имя было windows-machine.mydomain.com, но царство рекламы было FOO.BAR.MYDOMAIN.COM Я должен был исправить отображение в моем /etc/krb5.conf файл на моем хосте Ansible:

НЕПРАВИЛЬНО

Это не будет работать для нашего случая, так как это правило отображения не будет применяться к windows-machine.mydomain.com:

[domain_realm]
    foo.bar.mydomain.com = FOO.BAR.MYDOMAIN.COM

ПРАВИЛЬНЫЙ

Это будет правильно карта windows-machine.mydomain.com в царство FOO.BAR.MYDOMAIN.COM

[domain_realm]
    .mydomain.com = FOO.BAR.MYDOMAIN.COM

0

Источник

user2510614 04 апр '18 в 21:02

Другие вопросы по тегам authentication ansible active-directory kerberos spn

user7057680 11 мар '17 в 06:25 2017-03-11 06:25 · Accepted Answer · 2017-03-11 06:25

Это похоже на случай пропущенного SPN.

Вот соответствующий фрагмент ошибки:

<kerberostest.prosperityerp.local> ESTABLISH WINRM CONNECTION FOR USER: ansible@PROSPERITYERP.LOCAL on PORT 5986 TO kerberostest.prosperityerp.local
    <kerberostest.prosperityerp.local> WINRM CONNECT: transport=kerberos endpoint=https://kerberostest.prosperityerp.local:5986/wsman
    <kerberostest.prosperityerp.local> WINRM CONNECTION ERROR: authGSSClientStep() failed: (('Unspecified GSS failure.  Minor code may provide more information', 851968), ('Server not found in Kerberos database', -1765328377))

И это основано на том, что я заметил в вашем файле конфигурации Ansible:

[windows]
#fileserver.prosperityerp.local#this machine isnt joined to the domain yet.
kerberostest.PROSPERITYERP.LOCAL

я думаю this machine isnt joined to the domain yet строка в этом файле является хорошим индикатором того, что SPN HTTP / kerberostest.prosperityerp.local не существует в Active Directory, что могло бы вызвать "server not found"сообщение. Вы можете использовать SSH для kerberostest.prosperityerp.local, возможно потому, что он существует в DNS или в файле Hosts клиентского компьютера, но до тех пор, пока в Active Directory не будет создан SPN HTTP / kerberostest.prosperityerp.local, вы продолжите чтобы получить это сообщение об ошибке. Добавление этого SPN должным образом было бы совершенно другой темой для обсуждения.

Вы можете использовать команду, подобную этой, чтобы проверить, определен ли этот SPN:
setspn -Q HTTP / kerberostest.prosperityerp.local

SPN существуют для представления клиенту Kerberos, где найти экземпляр службы для этой службы в сети.

Также запустите:

nslookup kerberostest.prosperityerp.local

по крайней мере на двух клиентских компьютерах, чтобы убедиться, что полное доменное имя IP-хоста, на котором выполняется Kerberized, существует DNS. DNS является обязательным условием для правильной работы Kerberos в сети.

Наконец, вы можете использовать Wireshark на клиенте для дальнейшего анализа, используйте фильтр kerberos выделить только трафик Kerberos.