Web lists-archives.com

[Samba] access is denied to the Windows share folder because of the ticket kerberos




The client can not access the Windows Share after authorization on samba DC

samba_dc_server: samba 4.7.6 krb5-libs 1.15.2-7
windows client: windows7 
windows_file_server: windows server 2008


/var/log/samba/mit_kdc.log

мар 22 15:43:49 samba_dc_server krb5kdc[17891](info): commencing operation
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): AS_REQ (6 etypes {18 17 23 24 -135 3}) 10.2.1.12: NEEDED_PREAUTH: vas.lah@xxxxxxxxxx for krbtgt/example
.ru@xxxxxxxxxx, Additional pre-authentication required
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): AS_REQ (6 etypes {18 17 23 24 -135 3}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah@xxxxxxxxxx for krbtgt/example.ru@xxxxxxxxxx
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (5 etypes {18 17 23 24 -135}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah@xxxxxxxxxx for host/windows_workstation.example.ru@xxxxxxxxxx
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (5 etypes {18 17 23 24 -135}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18
ses=18}, vas.lah@xxxxxxxxxx for cifs/windows_file_server.example.ru@xxxxxxxxxx
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): TGS_REQ (1 etypes {18}) 10.2.1.12: ISSUE: authtime 1521715436, etypes {rep=18 tkt=18 ses=18}, vas.lah@E
XAMPLE.RU for krbtgt/EXAMPLE.RU@xxxxxxxxxx
мар 22 15:43:56 samba_dc_server krb5kdc[17891](info): closing down fd 20


klist
kerberos tiket from samba_dc_server 


#0>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x60ad0000 -> forwardable forwarded renewable pre_authent ok_as_delegate name_canonicalize 0x80000
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#1>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#2>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: cifs/samba_dc_server.example.ru @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40ad0000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize 0x80000
        Время начала: 3/22/2018 15:49:58 (локально)
        Время окончания:   3/23/2018 1:49:58 (локально)
        Время продления: 3/29/2018 15:49:58 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96

kerberos tiket from windows_dc_server 


#0>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x60a00000 -> forwardable forwarded renewable pre_authent
        Время начала: 3/22/2018 16:57:01 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#1>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: krbtgt/EXAMPLE.RU @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40e00000 -> forwardable renewable initial pre_authent
        Время начала: 3/22/2018 16:18:31 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


#2>     Клиент: vas.lah @ EXAMPLE.RU
        Сервер: cifs/windows_file_server.example.ru @ EXAMPLE.RU
        Тип шифрования KerbTicket: AES-256-CTS-HMAC-SHA1-96
        флаги билета 0x40a40000 -> forwardable renewable pre_authent ok_as_delegate
        Время начала: 3/22/2018 16:57:01 (локально)
        Время окончания:   3/23/2018 2:18:31 (локально)
        Время продления: 3/29/2018 16:18:31 (локально)
        Тип ключа сеанса: AES-256-CTS-HMAC-SHA1-96


What tiket flags:  name_canonicalize 0x80000 ???

-- 
To unsubscribe from this list go to the following URL and read the
instructions:  https://lists.samba.org/mailman/options/samba