Ich habe einen neuen Server, der auf Ubuntu läuft, und ich möchte diesen Server mit unserem bestehenden AD verbinden, das als „ad.xyz.edu“ aufgelöst wird, und unter diesem AD befindet sich unsere Abteilung (OU) „med.abc.edu“. Jetzt möchte ich die med.abc.edu-Benutzer zum neuen Server hinzufügen. Unser Benutzername ist wie folgt[email geschützt]welches den Hauptdomänennamen verwendet
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
Was muss ich eingeben, um der AD "ad.xyz.edu" oder "med.abc.edu" beizutreten? Soweit ich das beurteilen kann, müssen wir med.abc.edu nicht verwenden.
Hinweis: Als ich den Befehl "realm join -U[email geschützt]"ad.xyz.edu" fragt nach dem Passwort, da ich kein Administrator auf der Ebene ad.xyz.edu bin, sondern Administrator auf der Ebene med.abc.edu. Ist das also etwas, was ich den AD-Administrator fragen muss, oder gibt es eine andere Methode, um das zu umgehen?
Antwort1
When users attempt to use Kerberos
Ihre Konfigurationsaufforderungen beziehen sich auf die "rohe" Kerberos-Authentifizierung. Sie können dies (teilweise) für AD verwenden, aber eswird Ihnen keinen voll funktionsfähigen Join geben– es wird nicht möglich sein, Benutzerinformationen abzurufen und es wird nichtsicherPasswörter verifizieren; praktisch nur für ausgehende NutzungZuMit AD verbundene Maschinen.
- Der Kerberos-Bereich ist die Großbuchstabenversion des AD-Domänennamens, wahrscheinlich
AD.XYZ.EDU. Dieser ist für alle Benutzer in der Domäne immer gleich und hat nichts mit Ihrem benutzerdefinierten „UPN-Suffix“ in AD zu tun. - Die „Kerberos-Server“ (KDCs) müssen nicht bereitgestellt werden. Jeder AD DC ist ein Kerberos-KDC, aber Kerberos findet sie über DNS-SRV-Einträge.
- Die dritte Eingabeaufforderung verbindet Kpasswd-Server (jeder AD DC akzeptiert Anfragen zur Kennwortänderung) und Kadmin-Server (die AD überhaupt nicht hat; die gesamte Verwaltung erfolgt über LDAP). Ichdenkenhier muss man noch immer nichts eingeben, da DNS SRV-Records diese Informationen liefern, aber ich weiß nicht mehr, ob das in AD standardmäßig funktioniert. Bei Bedarf kann man den Namen eines seiner AD DCs eingeben.
Aber wie erwähnt reicht dies nur für ausgehenden Zugriff aus; es legt nur Standardwerte für fest kinit. Um einen vollständigen AD-Join einzurichten, damit sich AD-Benutzer über die „normalen“ Anmeldemethoden bei Ihrem Server anmelden können, müssen Sie wirklich entweder Samba/winbindd ( net join) oder SSSD ( realm join) verwenden.
(Andererseits: Sie benötigen keinen AD-Join, wenn das Ziel nur darin besteht, eine Webanwendung einzurichten, die Kerberos-Authentifizierung akzeptiert; es reicht aus, wenn ein AD-Administrator ein „Dienst“-Benutzerkonto erstellt und SPNs festlegt.)
Als ich den Befehl "realm join -U[email geschützt]"ad.xyz.edu" fragt nach dem Passwort, da ich kein Administrator auf der Ebene ad.xyz.edu bin, sondern Administrator auf der Ebene med.abc.edu
Sie benötigen die Berechtigungen fürErstellen Sie ein Computerkontoin AD. Dafür sind nicht unbedingt AD-Administratorrechte erforderlich – es reicht möglicherweise aus, ein Kontooperator zu sein oder eine benutzerdefinierte Delegierung zu haben. Anschließend sollten Sie in der Lage sein, --computer-ou=ein Computerkonto zu verwenden oder einen anderen AD-Administrator zu bitten, ein Computerkonto für Sie vorab zu erstellen.
Dies ist praktisch dasselbe wie der Beitritt zu einem Windows-System. Fragen Sie daher Ihren AD-Administrator.
Wenn ein Computerkonto erstellt wurde, können Sie dies tun, realm joinohne einen Benutzernamen anzugeben. Ich denke, Sie verwenden --no-passwordin dieser Situation Folgendes. (Das Computerkonto muss passwortlos sein, d. h. neu erstellt oder zurückgesetzt.)