Ubuntu 22.04サーバーをWindows Active Directoryに参加させる方法

Ubuntu 22.04サーバーをWindows Active Directoryに参加させる方法

Ubuntuで実行されている新しいサーバーがありますが、私たちの部門(OU)「med.abc.edu」を持つ既存のAD(「ad.xyz.edu」として識別されます)に参加したいと思います。今追加したいです。 med.abc.edu ユーザーを新しいサーバーに移動します。私たちのユーザー名は次のとおりです[Eメール保護]デフォルトドメイン名の使用

When users attempt to use Kerberos and specify a principal or user name   
  without specifying what administrative Kerberos realm that principal      
  belongs to, the system appends the default realm.  The default realm may  
  also be used as the realm of a Kerberos service running on the local      
  machine.  Often, the default realm is the uppercase version of the local  
  DNS domain.                                                               
                                                                            
  Default Kerberos version 5 realm: 


Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos 
 realm separated by spaces.                                                
                                                                            
  Kerberos servers for your realm: 

 Enter the hostname of the administrative (password changing) server for   
  the FD3S.SRV.WORLD Kerberos realm.                                     
                                                                            
  Administrative server for your Kerberos realm:

AD「ad.xyz.edu」または「med.abc.edu」にサインアップするには、何を入力する必要がありますか?私が知る限り、med.abc.eduを使用する必要はないようです。

注::"realm Join -U を実行すると[Eメール保護]私はad.xyz.eduレベルの管理者ではありませんが、med.abc.eduレベルの管理者なので、「ad.xyz.edu」からパスワードを要求します。したがって、AD管理者に尋ねるべき事項は次のとおりです。他の回避策はありませんか?

答え1

When users attempt to use Kerberos

構成プロンプトは、「生」のKerberos認証用です。 AD(一部)に使用できますが、完全な機能の結合を提供しません- ユーザー情報を検索または検索できません。安全にパスワードを確認してください。実際にはアウトバウンド用にのみ使用されます。到着ADは機械を接続します。

  • Kerberosゾーンは、ADドメイン名の大文字バージョンで、おそらくAD.XYZ.EDU。これはドメイン内のすべてのユーザーに常に同じであり、ADのカスタム「UPNサフィックス」とは別のものです。
  • 「Kerberosサーバー」(KDC)を提供する必要はありません。各AD DCはKerberos KDCですが、KerberosはDNS SRVレコードを介してそれを見つけます。
  • 3番目のヒントは、Kpasswdサーバー(各AD DCがパスワード変更要求を許可するサーバー)とKadminサーバー(ADにはまったくなく、すべての管理はLDAPを介して行われます)を組み合わせたものです。私考えるDNS SRVレコードはその情報を提供するため、ここに何も入力する必要はありませんが、これがデフォルトでADで機能するかどうかはよく覚えていません。必要に応じて、AD DCのいずれかの名前を入力できます。

ただし、述べたように、これはアウトバウンドアクセスにのみ十分ですkinit。 ADユーザーが「一般」ログイン方式を介してサーバーにログインできるように、完全なAD接続を確立するには、Samba / winbindd(net join)またはSSSD()を使用する必要がありますrealm join

(一方:Kerberos認証を許可するWebアプリケーションを設定することが目標である場合は、AD結合は必要ありません。AD管理者に「サービス」ユーザーアカウントを作成してSPNを設定するだけで十分です。)

「realm Join -U」を実行すると[Eメール保護]私はad.xyz.eduレベルの管理者ではありませんが、med.abc.eduレベルの管理者なので、「ad.xyz.edu」にはパスワードが必要です。

権限が必要ですコンピュータアカウントの作成広告から。これにはAD管理者権限が必ずしも必要ではありません。アカウントオペレーターまたはカスタム委任を持つことで十分である可能性があります。--computer-ou=他のAD管理者を使用するか、コンピューターアカウントを事前に作成するように要求できる必要があります。

これは基本的にWindowsシステムに参加するのと同じですので、AD管理者に連絡してください。

すでにコンピュータアカウントを作成している場合は、realm joinこれを行うためにユーザー名を指定する必要はありません--no-password。 (コンピュータアカウントには、新しく作成またはリセットされるパスワードは必要ありません。)

関連情報