Назад | Перейти на главную страницу

Интеграция SSSD AD - Пояснение на компьютере для присоединения к AD

Задача

Прояснить Компьютер, А не пользователь, при интеграции Linux-сервера с доменом Windows.

Задний план

Возникла путаница, потому что большая часть информации SSSD AD сосредоточена на аутентификации пользователя, однако, очевидно, в домене Windows компьютер, на который пользователи входят в систему, уже должен быть в домене (как субъект службы?). Мне кажется, мне нужна помощь, чтобы докопаться до сути.

Вопрос - Компьютер для присоединения к домену Windows.

Я считаю, что есть несколько способов. Пожалуйста, предложите, правильно ли ниже.

  1. Бегать царство в коробке с Linux.
  2. Запустите Samba net ads join в окне Linux (Создание Host Keytab с помощью Samba).
  3. Бегать setSPN и ktpass в контроллере домена

Что касается использования области и самбы, я полагаю, что эта команда также присоединит поле Linux к домену и AD. Это правильно? Также укажите ресурсы, чтобы понять, что происходит с компьютером и доменом, если таковые имеются.

Для этих способов требуются учетные данные администратора или учетные данные пользователя, у которого есть разрешение на добавление компьютера в домен, что не всегда доступно. Затем я полагаю, что нужно попросить администратора домена Windows сделать то, что делают realm и samba. Которые, как мне кажется, связаны ниже, но нуждаются в исправлениях / подтверждении, если они верны.

  1. Создайте запись A и запись PTR обратного просмотра в доменном DNS.
  2. Добавьте компьютер для Linux в поле «Управление компьютерами». UPN коробки будет <linux hostname>@<realm or domain>.
  3. Создайте SPN для Linux с помощью setSPN. SPN похож на host/<name>@<realm or domain>.
  4. Создайте keytab с помощью ktpass. SPN указывается с помощью -princ, а UPN указывается с помощью -mapuser.
  5. Скопируйте keytab в окно linux как /etc/krb5.keytab и измените разрешения. (Рассматривайте как файл pem в ~ / .ssh /)

Вопрос - UPN и SPN?

Зачем использовать несколько идентификаторов для одного и того же объекта (linux box)? Почему требуется SPN?

Из man net:

Присоединяйтесь к домену. Если учетная запись уже существует на сервере, а [ТИП] - ЧЛЕН, машина попытается присоединиться автоматически. (Предполагается, что машина была создана в диспетчере серверов). В противном случае будет запрошен пароль, и может быть создана новая учетная запись.

Короче говоря, "присоединение к сети объявлений" присоединяется к машина в домен. При запуске этой команды в вашем Linux-окне вам необходимо ввести учетные данные администратора домена (или другого пользователя с соответствующими разрешениями).

По моему опыту, в зависимости от вашей версии самбы вам может потребоваться вручную создать запись A или PTR. После этого любой динамический IP-адрес, полученный через DHCP, будет автоматически обновлять записи A и PTR.

С другой стороны, вы делаете не нужно возиться с setSPN или ktpass.

Ты можешь читать Вот для подробного руководства.