我有一個在ubuntu 上運行的新伺服器,我想將該伺服器加入我們現有的AD(解析為「ad.xyz.edu」)中,在該AD 下,我們的部門(OU)「med. abc.edu」駐留,現在我想將 med.abc.edu 用戶新增至新伺服器。我們的用戶名就像[電子郵件受保護]正在使用主域名
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
我需要輸入什麼才能加入 AD“ad.xyz.edu”或“med.abc.edu” 據我所知,我認為我們不必使用 med.abc.edu
注意::當我運行“realm join -U[電子郵件受保護]「ad.xyz.edu」要求輸入密碼,因為我不是 ad.xyz.edu 等級的管理員,但我是 med.abc.edu 等級的管理員,所以這是我必須向 AD 管理員詢問的一些內容還有其他方法可以解決嗎
答案1
When users attempt to use Kerberos
您的設定提示適用於「原始」Kerberos 身份驗證;您可以將其用於 AD(部分),但它不會給你一個功能齊全的加入– 它將無法檢索使用者訊息,也不會安全地驗證密碼;它實際上僅用於出站使用到AD連接機器。
- Kerberos 領域是 AD 網域的大寫版本,可能是
AD.XYZ.EDU.這對於網域中的所有使用者始終相同,並且與 AD 中的自訂「UPN 後綴」沒有關係。 - 不需要提供「Kerberos 伺服器」(KDC);每個AD DC都是一個Kerberos KDC,但是Kerberos會透過DNS SRV記錄找到它們。
- 第三個提示將 Kpasswd 伺服器(每個 AD DC 接受密碼變更請求)和 Kadmin 伺服器(AD 完全沒有;所有管理都是透過 LDAP 完成)合併在一起。我思考您仍然不需要在此處輸入任何內容,因為 DNS SRV 記錄將提供該信息,但我不太記得默認情況下這在 AD 中是否有效。如有必要,您可以輸入您的一位 AD DC 的姓名。
但如前所述,這僅夠用於出站訪問;它只是設定預設值kinit。要設定完整的 AD 連接,以便 AD 使用者可以透過「常規」登入方法登入您的伺服器,您確實需要使用 Samba/winbindd ( net join) 或 SSSD ( realm join)。
(另一方面:如果目標只是設定接受 Kerberos 驗證的 Web 應用程序,則不需要 AD 加入;讓 AD 管理員建立一個「服務」使用者帳戶並設定 SPN 就足夠了。)
當我運行“realm join -U[電子郵件受保護]「ad.xyz.edu」要求輸入密碼,因為我不是 ad.xyz.edu 等級的管理員,但我是 med.abc.edu 等級的管理員
您需要權限建立一個電腦帳戶在廣告中。這不一定需要 AD 管理員權限 - 成為帳戶操作員或擁有自訂委派可能就足夠了,然後您應該能夠使用--computer-ou=或要求其他 AD 管理員為您預先建立一個電腦帳戶。
這實際上與加入 Windows 系統相同,因此請詢問您的 AD 管理員。
如果已建立電腦帳戶,則realm join無需指定使用者名稱即可執行此操作;我認為你--no-password在那種情況下使用。 (電腦帳戶需要無密碼,即新建立或重設。)