Ubuntu 22.04 サーバーを Windows Active Directory に参加させる方法

tag-icon tag-icon linux ubuntu system-installation active-directory kerberos
Ubuntu 22.04 サーバーを Windows Active Directory に参加させる方法

Ubuntuで新しいサーバーを稼働させており、そのサーバーを「ad.xyz.edu」として解決される既存のADに参加させたいと思っています。そのADの下に私たちの部門(OU)「med.abc.edu」が存在します。ここで、med.abc.eduユーザーを新しいサーバーに追加したいと思います。ユーザー名は次のようになります。[メールアドレス]メインドメイン名を使用している

When users attempt to use Kerberos and specify a principal or user name   
  without specifying what administrative Kerberos realm that principal      
  belongs to, the system appends the default realm.  The default realm may  
  also be used as the realm of a Kerberos service running on the local      
  machine.  Often, the default realm is the uppercase version of the local  
  DNS domain.                                                               
                                                                            
  Default Kerberos version 5 realm: 


Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos 
 realm separated by spaces.                                                
                                                                            
  Kerberos servers for your realm: 

 Enter the hostname of the administrative (password changing) server for   
  the FD3S.SRV.WORLD Kerberos realm.                                     
                                                                            
  Administrative server for your Kerberos realm:

AD「ad.xyz.edu」または「med.abc.edu」に参加するには何を入力する必要がありますか? 私の知る限り、med.abc.eduを使用する必要はないと思います。

注::「realm join -U[メールアドレス]「ad.xyz.edu」はパスワードを要求します。私は ad.xyz.edu レベルの管理者ではありませんが、med.abc.edu レベルの管理者です。これは AD 管理者に尋ねなければならないことでしょうか、それとも回避する他の方法があるのでしょうか。

答え1

When users attempt to use Kerberos

設定プロンプトは「生の」Kerberos認証用です。これはAD(部分的に)に使用できますが、完全に機能する結合は得られません– ユーザー情報を取得できず、安全にパスワードを検証します。これは実質的に送信のみに使用されます。AD に参加したマシン。

  • Kerberos レルムは、AD ドメイン名の大文字バージョンです (おそらく ) AD.XYZ.EDU。これは、ドメイン内のすべてのユーザーに対して常に同じであり、AD のカスタム「UPN サフィックス」とは関係がありません。
  • 「Kerberos サーバー」(KDC) を提供する必要はありません。各 AD DC は Kerberos KDC ですが、Kerberos は DNS SRV レコードを通じてそれらを検出します。
  • 3番目のプロンプトは、Kpasswdサーバー(すべてのAD DCがパスワード変更要求を受け入れる)とKadminサーバー(ADにはまったくなく、すべての管理はLDAPを通じて行われる)を結合します。考えるDNS SRV レコードがその情報を提供するため、ここで何も入力する必要はありませんが、AD でそれがデフォルトで機能するかどうかはよく覚えていません。必要に応じて、AD DC の 1 つの名前を入力できます。

しかし、前述のように、これは発信アクセスに対してのみ十分であり、 のデフォルトを設定するだけです。AD ユーザーが「通常の」ログイン方法でサーバーにログインできるように完全な AD 参加を設定するには、Samba/winbindd ( ) または SSSD ( )kinitのいずれかを使用する必要があります。net joinrealm join

(一方、Kerberos 認証を受け入れる Web アプリケーションをセットアップすることだけが目的であれば、AD 参加は必要ありません。AD 管理者が「サービス」ユーザー アカウントを作成し、SPN を設定するだけで十分です。)

「realm join -U」を実行したとき[メールアドレス]「ad.xyz.edu」はパスワードを要求します。私はad.xyz.eduレベルの管理者ではありませんが、med.abc.eduレベルの管理者です。

許可が必要ですコンピュータアカウントを作成する--computer-ou=AD で。必ずしも AD 管理者権限は必要ありません。アカウント オペレーターになるか、カスタム委任があれば十分です。その後、別の AD 管理者にコンピューター アカウントを事前に作成してもらうか、別の AD 管理者に依頼することができます。

これは実質的に Windows システムに参加するのと同じなので、AD 管理者に問い合わせてください。

コンピュータ アカウントが作成されている場合は、realm joinユーザー名を指定せずに実行できます。その状況で使用すると思います--no-password。(コンピュータ アカウントはパスワードなし、つまり新しく作成またはリセットされている必要があります。)

関連情報