Ошибка "Cannot resolve principal" при попытке подключения к внешнему серверу аутентификации AD

1. Вопрос

Если попытка подключения к внешнему серверу аутентификации AD заканчивается неудачно и в логе есть запись вида

Cannot resolve principal 'ovirtadm@domain.local'

2. Проверка

Это говорит о работе службы глобального каталога не на порту 3268 , а 389 . Следует проверить сервисные записи DNS. Для этого перейдите в терминал (подключитесь по SSH) к менеджеру управления и введите (где example.com - адрес домена):

dig _ldap._tcp.gc._msdcs.example.com SRV
dig _ldap._tcp.example.com SRV

Корректный результат вывода команды dig _ldap._tcp.gc._msdcs.example.com SRV:

# dig _ldap._tcp.gc._msdcs.domain.local SRV

; <<>> DiG 9.11.36-RedHat-9.11.36-3.el8 <<>> _ldap._tcp.gc._msdcs.domain.local SRV
;; global options: +cmd
;; Got answer:
;; WARNING: .local is reserved for Multicast DNS
;; You are currently testing what happens when an mDNS query is leaked to DNS
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8991
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;_ldap._tcp.gc._msdcs.domain.local. IN   SRV

;; ANSWER SECTION:
_ldap._tcp.gc._msdcs.domain.local. 600 IN SRV    0 100 3268 myserver.domain.local.

;; ADDITIONAL SECTION:
myserver.domain.local. 3600  IN      A       172.25.1.19

;; Query time: 3 msec
;; SERVER: 172.25.1.19#53(172.25.1.19)
;; WHEN: Fri Dec 02 09:24:05 MSK 2022
;; MSG SIZE  rcvd: 121

Корректный результат вывода команды dig _ldap._tcp.example.com SRV:

# dig _ldap._tcp.domain.local SRV

; <<>> DiG 9.11.36-RedHat-9.11.36-3.el8 <<>> _ldap._tcp.domain.local SRV
;; global options: +cmd
;; Got answer:
;; WARNING: .local is reserved for Multicast DNS
;; You are currently testing what happens when an mDNS query is leaked to DNS
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44159
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;_ldap._tcp.domain.local.                IN      SRV

;; ANSWER SECTION:
_ldap._tcp.domain.local. 600     IN      SRV     0 100 389 myserver.domain.local.

;; ADDITIONAL SECTION:
myserver.domain.local. 3600  IN      A       172.25.1.19

;; Query time: 2 msec
;; SERVER: 172.25.1.19#53(172.25.1.19)
;; WHEN: Fri Dec 02 09:24:42 MSK 2022
;; MSG SIZE  rcvd: 111

В графическом виде можно проверить используемые порты можно по путям:

  1. Оснастка DNS - Имя DNS сервера - Зоны прямого просмотра - _msdcs.domain.name - gc - _tcp - _ldap.

    3268
  2. Оснастка DNS - Имя DNS сервера - Зоны прямого просмотра - domain.name - _tcp - _ldap.

    389

3. Решение

Измените значения текущих портов, на значения по умолчанию. По умолчанию LDAP работает на порту 389, GC на порту 3268.