2016-07-10 2 views
1

У меня есть три компьютера с Windows. Один из них - сервер Windows 2012, остальные два - Windows 7 Desktop. Через Ansible я могу индивидуально управлять всеми 3-мя машинами Windows через свою локальную учетную запись. Безупречная работа.В Ansible учетные данные были отклонены для компьютеров, подключенных к Active Directory

Теперь я настраиваю AD на сервере Windows 2012, и я подключил два настольных компьютера к AD. Через учетную запись администратора Active Directory я могу войти в систему через все 3 Windows-машины.

Управлять AD счета в анзибль я установил keberos, как указано в this documentaion.

Мои Конфигурации являются следующие:

/etc/krb5.conf

[libdefaults] 

default_realm = NAANAL.IN 

[realms] 

NAANAL.IN = { 
    kdc = WIN2012.naanal.in 
    default_domain = naanal.in 
} 

[domain_realm] 

.naanal.in = NAANAL.IN 

[login] 

krb4_convert = true 
krb4_get_tickets = false 

Подключение и билетов Подробности:

kinit [email protected] 
Password for [email protected]: 



klist 
Ticket cache: FILE:/tmp/krb5cc_1000 
Default principal: [email protected] 

Valid starting  Expires    Service principal 
2016-07-10T20:41:25 2016-07-11T06:41:25 krbtgt/[email protected] 
    renew until 2016-07-11T20:40:33 

Теперь я просто пытаюсь пинговать мои все окна машины через создание учетной записи [email protected]

Вот моя конфигурация и вывод:

хозяева

[windows] 
192.168.1.13 -> Windows 7 Desktop Attached to AD 
192.168.1.23 -> Windows 7 Desktop Attached to AD 
172.30.64.77 -> Windows 2012 with AD 

group_vars/windows.yaml

ansible_user: [email protected] 
ansible_password: [email protected] 
ansible_port: 5986 
ansible_connection: winrm 
ansible_winrm_server_cert_validation: ignore 

В то время как я бегу ansible windows -i hosts -m win_ping

192.168.1.13 | UNREACHABLE! => { 
"changed": false, 
"msg": "ssl: the specified credentials were rejected by the server", 
"unreachable": true 
} 
192.168.1.23 | UNREACHABLE! => { 
"changed": false, 
"msg": "ssl: the specified credentials were rejected by the server", 
"unreachable": true 
} 
172.30.64.77 | SUCCESS => { 
"changed": false, 
"ping": "pong" 
} 

В анзибль то есть, я не могу войти в компьютеры, подключенных к AD через учетную запись пользователя AD. Где я скучаю?

Примечание: Я включил удаленные подключения на рабочих столах. Также попытался отключить брандмауэр.

ответ

1

я заметил эти две строки в /etc/krb5.conf:

krb4_convert = true 
krb4_get_tickets = false 

Они действуют говорит демон Конверсия Kerberos, чтобы получить билеты V4, а затем рассказывающие не принимать v4 билеты. Помимо противоречия в коде, Active Directory во всех своих версиях всегда использовал Kerberos v5. Удалите эти строки с вашего krb5.ini.

Код: https://web.mit.edu/kerberos/krb5-1.4/krb5-1.4.1/doc/krb5-admin/login.html