У меня есть новый сервер, работающий на Ubuntu, и я хочу присоединить этот сервер к нашему существующему AD, который определяется как "ad.xyz.edu", и в этом AD находится наш отдел (OU) "med.abc.edu". Теперь я хочу добавить пользователей med.abc.edu на новый сервер. Наше имя пользователя выглядит так:[email protected]который использует основное доменное имя
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
Что мне нужно ввести, чтобы присоединиться к AD "ad.xyz.edu" или "med.abc.edu" Насколько я могу судить, я не думаю, что нам нужно использовать med.abc.edu
Примечание ::Когда я запустил команду «realm join -U[email protected]"ad.xyz.edu" запрашивает пароль, так как я не являюсь администратором на уровне ad.xyz.edu, но являюсь администратором на уровне med.abc.edu, так что это то, о чем мне нужно спросить администратора AD, или есть какой-то другой способ обойти это?
решение1
When users attempt to use Kerberos
Ваши запросы на настройку предназначены для «сырой» аутентификации Kerberos; вы можете использовать это для AD (частично), но этоне даст вам полностью функционального соединения– он не сможет извлечь информацию о пользователе и не будетнадежнопроверка паролей; это практически только для исходящего использованиякМашины, соединенные AD.
- Область Kerberos — это версия доменного имени AD в верхнем регистре, скорее всего
AD.XYZ.EDU. Она всегда одинакова для всех пользователей в домене и не имеет отношения к вашему пользовательскому «суффиксу UPN» в AD. - «Серверы Kerberos» (KDC) указывать не нужно; каждый AD DC является Kerberos KDC, но Kerberos найдет их через записи DNS SRV.
- Третья подсказка объединяет серверы Kpasswd (каждый контроллер домена AD принимает запросы на смену пароля) и серверы Kadmin (которых в AD нет вообще; все администрирование осуществляется через LDAP).думатьВам по-прежнему не нужно ничего здесь вводить, поскольку записи DNS SRV предоставят эту информацию, но я не совсем помню, работает ли это по умолчанию в AD. При необходимости вы можете ввести имя одного из ваших контроллеров домена AD.
Но как уже упоминалось, этого достаточно только для исходящего доступа; он просто устанавливает значения по умолчанию для kinit. Чтобы настроить полное присоединение к AD, чтобы пользователи AD могли входить на ваш сервер с помощью «обычных» методов входа, вам действительно нужно использовать либо Samba/winbindd ( net join), либо SSSD ( realm join).
(С другой стороны: вам не нужно присоединение к AD, если ваша цель — настроить только веб-приложение, принимающее аутентификацию Kerberos; достаточно, чтобы администратор AD создал учетную запись пользователя «службы» и установил SPN.)
Когда я запустил команду «realm join -U[email protected]"ad.xyz.edu" запрашивает пароль, так как я не являюсь администратором на уровне ad.xyz.edu, но являюсь администратором на уровне med.abc.edu
Вам нужны разрешениясоздать учетную запись компьютерав AD. Для этого не обязательно нужны права администратора AD — может быть достаточно быть оператором учетной записи или иметь индивидуальное делегирование, и тогда вы сможете использовать --computer-ou=или попросить другого администратора AD предварительно создать для вас учетную запись компьютера.
Это практически то же самое, что и присоединение к системе Windows, поэтому обратитесь к администраторам AD.
Если была создана учетная запись компьютера, вы можете сделать это, realm joinне указывая имя пользователя; я думаю, вы используете его --no-passwordв этой ситуации. (Учетная запись компьютера должна быть без пароля, т. е. свежесозданной или сброшенной.)