SSSD AD 集成 - 澄清计算机加入 AD

tag-icon tag-icon linux active-directory domain-controller kerberos sssd
SSSD AD 集成 - 澄清计算机加入 AD

客观的

阐明电脑当将 Linux 机器与 Windows 域集成时,不是用户。

背景

感到困惑,因为大多数 SSSD AD 信息都侧重于用户身份验证,但显然在 Windows 域中,用户登录的计算机应该已经在域中(作为服务主体?)。在我看来,我需要帮助才能弄清楚真相。

问题 — 计算机加入 Windows 域。

我认为有几种方法。请建议以下方法是否正确。

  1. 跑步领域在 Linux 机器中。
  2. 在 Linux 机器上运行 Samba net ads join(使用 Samba 创建主机 Keytab)。
  3. 跑步设置SPN密码在域控制器中

关于使用领域和 samba,我猜想该命令也会将 Linux 机器加入到域和 AD 中。这样对吗?另外,请指出资源以了解与计算机和域相关的幕后情况(如果有)。

这些方法需要管理员凭据或具有将计算机添加到域的权限的用户凭据,而这些凭据并不总是可用的。然后我想需要请 Windows 域管理员执行 realm 和 samba 所做的操作。这在我看来涉及以下内容,但需要更正/确认它们是否正确。

  1. 在域 DNS 中创建 A 记录和反向查找 PTR 记录。
  2. 在计算机管理视图中为 Linux 机器添加一台计算机。机器的 UPN 将为<linux hostname>@<realm or domain>
  3. 使用 setSPN 为 Linux 机器创建 SPN。SPN 类似于host/<name>@<realm or domain>
  4. 使用 ktpass 创建密钥表。SPN 使用 -princ 指定,UPN 使用 -mapuser 指定。
  5. 将 keytab 复制到 Linux 机器作为 /etc/krb5.keytab 并更改权限。(像 ~/.ssh/ 中的 pem 文件一样处理)

问题 - UPN 和 SPN?

为什么同一个对象 (Linux 机器) 有多个标识符?为什么需要 SPN?

答案1

man net

加入域。如果服务器上已存在该帐户,并且 [TYPE] 为 MEMBER,则计算机将尝试自动加入。(假设计算机已在服务器管理器中创建)否则,将提示输入密码,并可能创建新帐户。

简而言之,“网投加盟”加盟机器到域。在 Linux 机器上运行此命令时,您需要输入域管理员凭据(或具有适当权限的其他用户)。

根据我的经验,根据您的 Samba 版本,您可能需要手动创建 A 或 PTR 记录。之后,通过 DHCP 获取的任何动态 IP 都会自动刷新/更新 A 和 PTR 记录。

另一方面,你确实不是需要打扰setSPNktpass

你可以阅读这里以获得深入指南。

相关内容