realmd加入AD和跨域认证

realmd加入AD和跨域认证

Realmd 的小问题,
我使用领域加入和加入之前生成的 kerberos 令牌,
它在简单的 Active Directory 配置上工作正常
我的问题是领域加入必须使用来自跨域身份验证机制的 kerberos 令牌加入域

假设我有两个域:
A.grp 和 B.com,
A 和 B 之间存在信任关系(A 中的用户可以在 B 域内进行身份验证),
该关系在 krb5.conf 中如下所示:

[realms]
A.GRP ={
        kdc = DC01.A.GRP
        kdc = DC02.A.GRP
        default_domain = a.grp
        admin_server = DC01.A.GRP
}
B.COM = {
  kdc = DC01.B.COM
  default_domain = B.COM
  admin_server = DC01.B.COM
}
[capaths]
A.GRP = {
  B.COM
}

为用户创建 kerberos 令牌[电子邮件受保护]
加入是在 B.COM 上,如下所示:

 join b.com  

但领域创建了它自己的 krb5.conf,它仅向 B.COM 指出触发此类错误的情况:

Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-g6wFw4/krb5.d/adcli-krb5-conf-kJS7Pm
! Couldn't authenticate as machine account: MACHINE01: Client '[email protected]' not found in Kerberos database

我如何告诉领域使用跨域身份验证?

相关内容