ad авторизация centos7

0

1

[root@proxy-filials ~]# ntpdate mdc
ntpdate[3705]: adjust time server 10.5.1.7 offset -0.013504 sec

[root@proxy-filials ~]# net ads join -U adm_filials
Enter adm_filials's password:
kerberos_kinit_password adm_filials@domain.name failed: Clock skew too great
Failed to join domain: failed to connect to AD: Clock skew too great

Centos 7 с апдейтами 2х недельной давности, винда 2003. Таймзоны одни и те же GMT +3. Куда копать? Я в растерянности.

Ссылка

←	curl и простой GET-запрос

Построение корпоративного ТВ.

→

Покажи hwclock и date для начала

Pinkbyte ★★★★★
(18.06.15 18:50:45 MSK)

Ответ на: комментарий от Pinkbyte 18.06.15 18:50:45 MSK

Да тоже ровно все
[root@proxy-filials ~]# date
Пт июн 19 13:00:29 MSK 2015
[root@proxy-filials ~]# hwclock
Пт 19 июн 2015 13:00:34 -0.145919 секунд
[root@proxy-filials ~]#

splinoz
(19.06.15 13:02:03 MSK) автор топика

Ответ на: комментарий от splinoz 19.06.15 13:02:03 MSK

Какой разброс по времени стоит в доменных политиках на Kerberos. Можешь получить билет через kinit с линуксовой машины?

Pinkbyte ★★★★★
(19.06.15 15:24:39 MSK)

Ссылка

А какое время на виндовой машинке? Там точно все совпадает?

У нас, например, разница в 5 минут установлена (что есть дефолт). Смотри в /etc/krb5.conf, в libdefaults параметр clock-skew.

pztrn ★★★★
(19.06.15 23:48:04 MSK)

Ответ на: комментарий от pztrn 19.06.15 23:48:04 MSK

ntpdate[3705]: adjust time server 10.5.1.7 offset -0.013504 sec

Вот разница со временем на виндовой машине. Разрешенное - то ли 5 то ли 10 минут (не очень вникал). При любом раскладе 0,013 секунды должно укладываться в лимит. Через kinit тикет тоже получить не могу.
Самое удивительное что вначале она у меня плавненько и нежно вошла в домен и заработала даже ad-авторизация на сквиде, а потом после какого-то моего действия вылетела.
Предлагаю проблему закрыть, снесу завтра виртуалку, накачу свежую из темплейта. Пардон за беспокойство.

splinoz
(23.06.15 17:03:05 MSK) автор топика