web-dev-qa-db-ja.com

KerberosおよびUbuntu 18

Ubuntuワークステーションでドメインへの自動参加を構成しようとしています。すべてが揃っている(少なくとも、次のコマンドが正常に機能するように思える)

net ads join -U <username>

今、2つの質問があります。オプション-kまたは--kerberosが何をするのか、いつ使用できるのかを誰かに説明してもらえますか?また、このプロセスを成功裏に自動化した人はいますか?これまでのところ、すべての設定ファイル(krb、sssd、samba。これらはすべて手動で設定すると動作します)をデプロイするためのpuppetセットアップがあり、最後にnet ads joinを実行しますが、失敗するようです(私が提供していないので驚きはありません)資格情報を使用して)-kオプションを使用して上記のコマンドを実行するように誰かに言われましたが、それも失敗したようです。

1
Oskar L

これに対する答えは、使用することでした

net ads join -U username%password

この問題と、デバイスをドメインに追加する単一の権限を持つドメインの新しいユーザーが私の問題を修正しました。

0
Oskar L

-kはKerberos認証を使用するため、ADでコンピューターオブジェクトを作成できるプリンシパルからのチケットがある場合、追加の資格情報を提供せずにnet ads joinコマンドが機能します。

プロセスは次のようになります。

  • チケットを取得:kinit <user>、 どこ <user>はeです。 g。ドメイン管理者アカウント

  • 結合を実行します:net ads join -k

これはスクリプト内から実行できます。クライアントにすべてのsambaのものをインストールしたくない場合は、 msktutil を使用してこれを行うことを検討することもできます。 msktutilはnet ads joinコマンドを置き換えます。

完全に自動化することは少しあいまいな質問ですが、重要な概念は、ADでコンピューターアカウントを事前に作成する方法があることです(これには、msktuil、ネット広告、またはWindows GUIを使用できます)。いずれかのツールを使用して、デフォルトのパスワードを使用して実際にクライアントに参加します。

ADを管理する別の管理者グループがある場合、それらはおそらくコンピューターオブジェクトを事前に作成します。あなたがそれを自分でやらなければならない場合、私はこれをとにかく自動化するのにあまり役立ちません。

1
Sebastian Stark