SSSD AD Integration - Разъяснение на компьютере, чтобы присоединиться к AD

Question

SSSD AD Integration - Разъяснение на компьютере, чтобы присоединиться к AD

Задача

Уточните компьютер, а не пользователя, при интеграции Linux-бокса с доменом Windows.

Фон

Возникла путаница, потому что большая часть информации SSSD AD фокусируется на аутентификации пользователей, хотя, по-видимому, в домене Windows, компьютер, на который пользователи входят, должен уже находиться в домене (в качестве участника службы?). Мне кажется, мне нужна помощь, чтобы добраться до сути.

Вопрос - компьютер для присоединения к домену Windows.

Я считаю, что есть несколько способов. Пожалуйста, предложите, если ниже правильно.

Запустите область в окне Linux.
Запустите Samba net ads join в окне Linux ( Создание хоста Keytab с помощью Samba).
Запустите setSPN и ktpass в контроллере домена

Что касается использования realm и samba, я предполагаю, что команда также присоединит блок Linux к домену и AD. Это правильно? Также, пожалуйста, укажите ресурсы, чтобы понять, что происходит с компьютером и доменом, если таковые имеются.

Для этих способов требуются учетные данные администратора или учетные данные пользователя, у которого есть разрешение на добавление компьютера в домен, что не всегда будет доступно. Тогда я полагаю, что нужно попросить администратора домена Windows сделать то, что делают область и samba. Которые мне кажутся вовлеченными ниже, но нуждаются в исправлениях / подтверждениях, если они верны.

Создайте запись A и запись обратного просмотра PTR в домене DNS.
Добавьте компьютер для коробки Linux в представлении управления компьютерами. UPN коробки будет <linux hostname>@<realm or domain>,
Создайте SPN для коробки Linux с помощью setSPN. SPN это как host/<name>@<realm or domain>,
Создайте keytab с помощью ktpass. Имя участника-службы указывается с помощью -princ, а имя участника-пользователя указывается с помощью -mapuser.
Скопируйте keytab в окно linux как /etc/krb5.keytab и измените разрешения. (Рассматривать как файл pem в ~/.ssh/)

Вопрос - UPN и SPN?

Зачем иметь несколько идентификаторов для одного и того же объекта (окно linux)? Почему SPN требуется?

0

linux active-directory domain-controller kerberos sssd

Источник

mon 29 сен '18 в 10:22

1 ответ

Другие вопросы по тегам linux active-directory domain-controller kerberos sssd

shodanshok 30 сен '18 в 19:02 2018-09-30 19:02 · Answer 1 · 2018-09-30 19:02

От man net:

Присоединиться к домену. Если учетная запись уже существует на сервере, а [TYPE] - MEMBER, аппарат попытается автоматически подключиться. (Предполагается, что машина была создана в диспетчере серверов) В противном случае будет запрошен пароль и может быть создана новая учетная запись.

Короче говоря, "net ads join" присоединяет компьютер к домену. При запуске этой команды на вашем компьютере с Linux вам необходимо ввести учетные данные администратора домена (или другого пользователя с соответствующими разрешениями).

По моему опыту, основываясь на вашей версии samba, вам может потребоваться вручную создать запись A или PTR. После этого любой динамический IP, полученный через DHCP, будет автоматически обновлять / обновлять записи A и PTR.

С другой стороны, вам не нужно беспокоиться о setSPN или же ktpass,

Вы можете прочитать здесь для подробного руководства.