ich hoffe hier kann mir jemand helfen. Bin kurz vor dem verzweifeln. Ich möchte beim Login Smartcards verwenden, in Form von Yubikeys. Ich bin nachdieser Anleitung vorgegangen...
https://wiki.samba.org/index.php/Samba_ ... tion_Point
... auf dem Testsystem hat das auch wunderbar geklappt. Jetzt wollte ich es final aufsetzen und dabei eine neue PKI-Struktur verwenden mit Chain of Trust. Nachdem ich nun einige Probleme im Bezug auf den CRL Distribution Point und Kerberos ausräumen konnte, hapert es jetzt vermutlich an den CLient-Zertifikaten. Beim Login unter WIndows steht dann:
"Die Anmeldeinforamtionen konnten nicht überprüft werden."
In der Ereignisanzeige vom Windows-Client steht dann ID 4625 mit Status 0xc000006d. Im Auth-Log vom Samba steht dann zusätzlich NT_STATUS_PKINIT_FAILURE. Der samba-ad-dc Service läuft aber ganz normal. Samba-Version ist 4.17.4 unter Debian 11
Ansonsten werden keine weiteren Fehler ausgegeben. Zeit ist sync zwischen DC und Client. Die pkcs12 Zertifkate für die Client habe ich folgendermaßen angelegt:
Code: Alles auswählen
openssl req -new -addext 'subjectAltName = otherName:msUPN;UTF8:m.mustermann@sub.contoso.de,email:copy' -newkey rsa:2048 -keyout private/mmustermann-key.pem -out mmustermann-req.pem -config openssl.cnf
openssl ca -config openssl.cnf -extensions usr_cert_scarduser -in mmustermann-req.pem -out mmustermann-cert.pem
cat mmustermann-cert.pem chain.pem > mmustermann-chain.pem
openssl pkcs12 -in mmustermann-chain.pem -inkey private/mmustermann-key.pem -export -out mmustermann.p12
Hat jemand Erfahrung damit? Kann mir vielleicht einen Fingerzeig geben, wo ich weiter nach Fehlern suchen kann?
Gruß