Ubuntu 22.04 서버를 Window Active Directory에 가입시키는 방법

tag-icon tag-icon linux ubuntu system-installation active-directory kerberos
Ubuntu 22.04 서버를 Window Active Directory에 가입시키는 방법

우분투에서 실행되는 새 서버가 있고 해당 서버를 "ad.xyz.edu"로 확인되는 기존 AD에 가입하고 해당 AD 아래에 우리 부서(OU) "med.abc.edu"가 상주하고 싶습니다. 이제 med.abc.edu 사용자를 새 서버에 추가하고 싶습니다. 우리 사용자 이름은 다음과 같습니다[이메일 보호됨]기본 도메인 이름을 사용하고 있는

When users attempt to use Kerberos and specify a principal or user name   
  without specifying what administrative Kerberos realm that principal      
  belongs to, the system appends the default realm.  The default realm may  
  also be used as the realm of a Kerberos service running on the local      
  machine.  Often, the default realm is the uppercase version of the local  
  DNS domain.                                                               
                                                                            
  Default Kerberos version 5 realm: 


Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos 
 realm separated by spaces.                                                
                                                                            
  Kerberos servers for your realm: 

 Enter the hostname of the administrative (password changing) server for   
  the FD3S.SRV.WORLD Kerberos realm.                                     
                                                                            
  Administrative server for your Kerberos realm:

AD "ad.xyz.edu" 또는 "med.abc.edu"에 가입하려면 무엇을 입력해야 합니까? 제가 아는 한, med.abc.edu를 사용할 필요는 없을 것 같습니다.

참고 ::"realm Join -U를 실행했을 때[이메일 보호됨]"ad.xyz.edu"는 ad.xyz.edu 수준의 관리자는 아니지만 med.abc.edu 수준의 관리자이므로 비밀번호를 요청합니다. 따라서 AD 관리자에게 물어봐야 할 내용이 있습니다. 다른 해결 방법이 있나요?

답변1

When users attempt to use Kerberos

구성 프롬프트는 "원시" Kerberos 인증을 위한 것입니다. 이것을 AD에 (부분적으로) 사용할 수 있지만완전한 기능의 조인을 제공하지 않습니다– 사용자 정보를 검색할 수 없으며 검색할 수도 없습니다.안전하게비밀번호 확인; 사실상 아웃바운드 용도로만 사용됩니다.에게AD에 가입된 기계.

  • Kerberos 영역은 AD 도메인 이름의 대문자 버전입니다 AD.XYZ.EDU. 이는 도메인의 모든 사용자에게 항상 동일하며 AD의 사용자 정의 "UPN 접미사"와는 관계가 없습니다.
  • "Kerberos 서버"(KDC)를 제공할 필요는 없습니다. 각 AD DC는 Kerberos KDC이지만 Kerberos는 DNS SRV 레코드를 통해 이를 찾습니다.
  • 세 번째 프롬프트는 Kpasswd 서버(모든 AD DC가 비밀번호 변경 요청을 허용함)와 Kadmin 서버(AD에는 전혀 없으며 모든 관리는 LDAP를 통해 수행됨)를 결합합니다. 나생각하다DNS SRV 레코드가 해당 정보를 제공하므로 여기에 아무것도 입력할 필요가 없습니다. 하지만 이것이 AD에서 기본적으로 작동하는지 잘 기억이 나지 않습니다. 필요한 경우 AD DC 중 하나의 이름을 입력할 수 있습니다.

그러나 앞서 언급했듯이 이는 아웃바운드 액세스에만 충분합니다. 단지 에 대한 기본값을 설정합니다 kinit. AD 사용자가 "일반" 로그인 방법을 통해 서버에 로그인할 수 있도록 전체 AD 조인을 설정하려면 실제로 Samba/winbindd( net join) 또는 SSSD( ) 를 사용해야 합니다 realm join.

(반면: Kerberos 인증을 허용하는 웹앱을 설정하는 것이 목표라면 AD 조인이 필요하지 않습니다. AD 관리자가 "서비스" 사용자 계정을 만들고 SPN을 설정하도록 하는 것으로 충분합니다.)

"realm Join -U"를 실행했을 때[이메일 보호됨]"ad.xyz.edu"는 ad.xyz.edu 수준의 관리자는 아니지만 med.abc.edu 수준의 관리자이므로 비밀번호를 요청합니다.

다음 권한이 필요합니다.컴퓨터 계정을 만들어라AD에서. 여기에는 반드시 AD 관리자 권한이 필요한 것은 아닙니다. 계정 운영자이거나 사용자 지정 위임이 있으면 충분할 수 있으며, --computer-ou=다른 AD 관리자를 사용하거나 컴퓨터 계정을 미리 생성하도록 요청할 수 있어야 합니다.

이는 Windows 시스템에 가입하는 것과 실질적으로 동일하므로 AD 관리자에게 문의하세요.

컴퓨터 계정이 생성된 경우 realm join사용자 이름을 지정하지 않고도 해당 작업을 수행할 수 있습니다. --no-password그런 상황에 사용하시면 될 것 같아요 . (컴퓨터 계정은 비밀번호가 없어야 합니다. 즉, 새로 생성되거나 재설정되어야 합니다.)

관련 정보