Почему мне говорят, что у меня недостаточно прав, несмотря на то, что мой пользователь является членом администраторов AAD DC в Azure - я считаю, что это требование для обновления учетных записей компьютеров
Следуйте официальным инструкциям здесь: https://docs.microsoft.com/en-us/azure/active-directory-domain-services/active-directory-ds-join-ubuntu-linux-vm
В конце концов я понял, что мне нужно добавить своих пользователей в эту группу.
Когда я наконец запустил sudo realm join --verbose CONTOSO100.COM -U 'bob@CONTOSO100.COM' --install = /
Calculated computer account: CN=CONTOSO-UBUNTU,OU=AADDC Computers,DC=
contoso100,DC=com
! Insufficient permissions to modify computer account: CN=CONTOSO-
UBUNTU,OU=AADDC Computers,DC= contoso100,DC=com: 000020E7: AtrErr:
DSID-031530D8, #1:
0: 000020E7: DSID-031530D8, problem 1005 (CONSTRAINT_ATT_TYPE), data 0,
Att 90008 (userAccountControl):len 4
adcli: joining domain contoso100.com failed: Insufficient permissions
to modify computer account: CN=CONTOSO-UBUNTU,OU=AADDC Computers,DC=
contoso100,DC=com: 000020E7: AtrErr: DSID-031530D8, #1:
0: 000020E7: DSID-031530D8, problem 1005 (CONSTRAINT_ATT_TYPE), data 0,
Att 90008 (userAccountControl):len 4
! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain
Произошли странные вещи:
При запуске kinit для нового пользователя он запрашивает мой пароль, но всегда возвращает kinit: Preauthentication failed while getting initial credentials
Если я ввожу пустой пароль, он говорит, что срок действия пароля истек, и позволяет мне ввести новый. После этого я могу аутентифицироваться с новым паролем, но теперь это не тот пароль, который я использовал для входа в azure. Это говорит мне, что я даже не могу быть уверен, что это тот же связанный пользователь. Но он определенно проверяет AD для моих учетных записей пользователей, потому что он скажет мне, что не может найти учетную запись, если я введу тот, который не существует