Tengo un nuevo servidor ejecutándose en Ubuntu y quiero unir ese servidor a nuestro AD existente que se resuelve como "ad.xyz.edu" y bajo ese AD reside nuestro departamento (OU) "med.abc.edu". Ahora Quiero agregar los usuarios de med.abc.edu al nuevo servidor. nuestro nombre de usuario es como[correo electrónico protegido]que está usando el nombre de dominio principal
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
¿Qué debo ingresar para unirme al AD? "ad.xyz.edu" o "med.abc.edu" Por lo que puedo decir, no creo que tengamos que usar med.abc.edu
Nota :: Cuando ejecuté "realm join -U[correo electrónico protegido]"ad.xyz.edu" solicita la contraseña ya que no soy administrador en el nivel ad.xyz.edu pero sí soy administrador en el nivel med.abc.edu, así que eso es lo que tengo que preguntarle al administrador de AD o es hay algún otro método para solucionarlo
Respuesta1
When users attempt to use Kerberos
Sus indicaciones de configuración son para la autenticación Kerberos "sin procesar"; Puedes usar esto para AD (parcialmente) perono le dará una unión completamente funcional– no podrá recuperar información del usuario y node forma seguraverificar contraseñas; es prácticamente sólo para uso salienteaMáquinas unidas a AD.
- El dominio Kerberos es la versión en mayúsculas del nombre de dominio AD, probablemente
AD.XYZ.EDU. Esto siempre es el mismo para todos los usuarios del dominio y no tiene relación con su "sufijo UPN" personalizado en AD. - No es necesario proporcionar los "servidores Kerberos" (KDC); Cada AD DC es un KDC de Kerberos, pero Kerberos los encontrará a través de registros SRV de DNS.
- El tercer mensaje combina servidores Kpasswd (cada AD DC acepta solicitudes de cambio de contraseña) y servidores Kadmin (que AD no tiene en absoluto; toda la administración se realiza a través de LDAP). Ipensartodavía no necesita ingresar nada aquí, ya que los registros DNS SRV proporcionarán esa información, pero no recuerdo si eso funciona de forma predeterminada en AD. Si es necesario, puede ingresar el nombre de uno de sus AD DC.
Pero como se mencionó, esto sólo es suficiente para el acceso saliente; simplemente establece valores predeterminados para kinit. Para configurar una unión AD completa para que los usuarios de AD puedan iniciar sesión en su servidor a través de los métodos de inicio de sesión "normales", realmente necesita usar Samba/winbindd ( net join) o SSSD ( realm join).
(Por otro lado: no necesita unirse a AD si el objetivo es solo configurar una aplicación web que acepte la autenticación Kerberos; es suficiente que un administrador de AD cree una cuenta de usuario de "servicio" y establezca SPN).
Cuando ejecuté "reino unirse -U[correo electrónico protegido]"ad.xyz.edu" solicita la contraseña ya que no soy administrador en el nivel ad.xyz.edu pero sí soy administrador en el nivel med.abc.edu
Necesitas los permisos paracrear una cuenta de computadoraen anuncio. Esto no necesariamente necesita derechos de administrador de AD; podría ser suficiente ser un operador de cuenta o tener una delegación personalizada, y luego debería poder usar --computer-ou=o pedirle a otro administrador de AD que cree previamente una cuenta de computadora para usted.
Esto es prácticamente lo mismo que unirse a un sistema Windows, así que pregúntele a sus administradores de AD.
Si se ha creado una cuenta de computadora, puede hacerlo realm joinsin especificar un nombre de usuario; Creo que lo usas --no-passworden esa situación. (La cuenta de la computadora debe estar sin contraseña, es decir, recién creada o restablecida).