我有一个在 ubuntu 上运行的新服务器,我想将该服务器加入到我们现有的 AD(解析为“ad.xyz.edu”)中,在该 AD 下,我们的部门(OU)“med.abc.edu”驻留,现在我想将 med.abc.edu 用户添加到新服务器。我们的用户名就像[电子邮件受保护]使用主域名
When users attempt to use Kerberos and specify a principal or user name
without specifying what administrative Kerberos realm that principal
belongs to, the system appends the default realm. The default realm may
also be used as the realm of a Kerberos service running on the local
machine. Often, the default realm is the uppercase version of the local
DNS domain.
Default Kerberos version 5 realm:
Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos
realm separated by spaces.
Kerberos servers for your realm:
Enter the hostname of the administrative (password changing) server for
the FD3S.SRV.WORLD Kerberos realm.
Administrative server for your Kerberos realm:
我需要输入什么才能加入 AD“ad.xyz.edu”或“med.abc.edu” 据我所知,我认为我们不必使用 med.abc.edu
注意::当我运行“realm join -U[电子邮件受保护]“ad.xyz.edu”要求输入密码,因为我不是 ad.xyz.edu 级别的管理员,但我是 med.abc.edu 级别的管理员,所以这是我必须向 AD 管理员询问的一些内容还有其他方法可以解决吗
答案1
When users attempt to use Kerberos
您的配置提示适用于“原始”Kerberos 身份验证;您可以将其用于 AD(部分),但它不会给你一个功能齐全的加入– 它将无法检索用户信息,也不会安全地验证密码;它实际上仅用于出站使用到AD连接机器。
- Kerberos 领域是 AD 域名的大写版本,可能是
AD.XYZ.EDU
。这对于域中的所有用户始终相同,并且与 AD 中的自定义“UPN 后缀”无关。 - 不需要提供“Kerberos 服务器”(KDC);每个AD DC都是一个Kerberos KDC,但是Kerberos会通过DNS SRV记录找到它们。
- 第三个提示将 Kpasswd 服务器(每个 AD DC 接受密码更改请求)和 Kadmin 服务器(AD 根本没有;所有管理都是通过 LDAP 完成)合并在一起。我思考您仍然不需要在此处输入任何内容,因为 DNS SRV 记录将提供该信息,但我不太记得默认情况下这在 AD 中是否有效。如有必要,您可以输入您的一位 AD DC 的姓名。
但如前所述,这仅够用于出站访问;它只是设置默认值kinit
。要设置完整的 AD 连接,以便 AD 用户可以通过“常规”登录方法登录到您的服务器,您确实需要使用 Samba/winbindd ( net join
) 或 SSSD ( realm join
)。
(另一方面:如果目标只是设置接受 Kerberos 身份验证的 Web 应用程序,则不需要 AD 加入;让 AD 管理员创建一个“服务”用户帐户并设置 SPN 就足够了。)
当我运行“realm join -U[电子邮件受保护]“ad.xyz.edu”要求输入密码,因为我不是 ad.xyz.edu 级别的管理员,但我是 med.abc.edu 级别的管理员
您需要权限创建一个计算机帐户在广告中。这不一定需要 AD 管理员权限 - 成为帐户操作员或拥有自定义委派可能就足够了,然后您应该能够使用--computer-ou=
或要求其他 AD 管理员为您预先创建计算机帐户。
这实际上与加入 Windows 系统相同,因此请询问您的 AD 管理员。
如果已创建计算机帐户,则realm join
无需指定用户名即可执行此操作;我认为你--no-password
在那种情况下使用。 (计算机帐户需要无密码,即新创建或重置。)