Eu tenho um novo servidor rodando no Ubuntu e quero juntar esse servidor ao nosso AD existente, que é resolvido como "ad.xyz.edu" e sob esse AD nosso departamento (OU) "med.abc.edu" reside, agora Quero adicionar os usuários med.abc.edu ao novo servidor. nosso nome de usuário é como[e-mail protegido]que está usando o nome de domínio principal
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
O que devo inserir para ingressar no AD "ad.xyz.edu" ou "med.abc.edu" Pelo que sei, não acho que precisamos usar o med.abc.edu
Nota ::Quando executei o comando "realm join -U[e-mail protegido]"ad.xyz.edu" peço a senha porque não sou administrador no nível ad.xyz.edu, mas sou administrador no nível med.abc.edu, então é isso que devo perguntar ao administrador do AD ou é existe algum outro método para contornar
Responder1
When users attempt to use Kerberos
Seus prompts de configuração são para autenticação Kerberos "bruta"; você pode usar isso para AD (parcialmente), masnão lhe dará uma junção totalmente funcional– não será capaz de recuperar informações do usuário e nãocom segurançaverificar senhas; é praticamente apenas para uso de saídaparaMáquinas unidas ao AD.
- O domínio Kerberos é a versão em letras maiúsculas do nome de domínio do AD, provavelmente
AD.XYZ.EDU. Isso é sempre o mesmo para todos os usuários no domínio e não tem relação com seu "sufixo UPN" personalizado no AD. - Os “servidores Kerberos” (KDCs) não precisam ser fornecidos; cada AD DC é um KDC Kerberos, mas o Kerberos os encontrará por meio de registros SRV DNS.
- O terceiro prompt combina servidores Kpasswd (cada AD DC aceita solicitações de alteração de senha) e servidores Kadmin (que o AD não possui; toda a administração é feita por meio de LDAP). EUpensarvocê ainda não precisa inserir nada aqui, pois os registros SRV do DNS fornecerão essas informações, mas não me lembro se isso funciona por padrão no AD. Se necessário, você pode inserir o nome de um dos seus AD DCs.
Mas, como mencionado, isso só é suficiente para acesso de saída; apenas define padrões para kinit. Para configurar uma junção completa do AD para que os usuários do AD possam fazer login no seu servidor através dos métodos de login "regulares", você realmente precisa usar Samba/winbindd ( net join) ou SSSD ( realm join).
(Por outro lado: você não precisa de uma associação ao AD se o objetivo for apenas configurar um aplicativo da web que aceite a autenticação Kerberos; basta que um administrador do AD crie uma conta de usuário de "serviço" e defina SPNs.)
Quando executei o "realm join -U[e-mail protegido]"ad.xyz.edu" solicita a senha, pois não sou administrador no nível ad.xyz.edu, mas sou administrador no nível med.abc.edu
Você precisa das permissões paracriar uma conta de computadorem anúncio. Isso não precisa necessariamente de direitos de administrador do AD – pode ser suficiente ser um operador de conta ou ter uma delegação personalizada e, então, você poderá usar --computer-ou=ou pedir a outro administrador do AD para pré-criar uma conta de computador para você.
Isso é praticamente o mesmo que ingressar em um sistema Windows, então pergunte aos administradores do AD.
Se uma conta de computador tiver sido criada, você poderá fazer isso realm joinsem especificar um nome de usuário; Eu acho que você usa --no-passwordnessa situação. (A conta do computador precisa ser sem senha, ou seja, recém-criada ou redefinida.)