Ubuntu 22.04 서버를 Window Active Directory에 가입시키는 방법

tag-icon tag-icon linux ubuntu system-installation active-directory kerberos
Ubuntu 22.04 서버를 Window Active Directory에 가입시키는 방법

우분투에서 실행 중인 새 서버가 있는데, 우리 부서(OU) "med.abc.edu"가 있는 기존 AD("ad.xyz.edu"로 확인됨)에 가입하고 싶습니다. 이제 추가하고 싶습니다. med.abc.edu 사용자를 새 서버로 이동합니다. 우리의 사용자 이름은 다음과 같습니다[이메일 보호됨]기본 도메인 이름 사용

When users attempt to use Kerberos and specify a principal or user name   
  without specifying what administrative Kerberos realm that principal      
  belongs to, the system appends the default realm.  The default realm may  
  also be used as the realm of a Kerberos service running on the local      
  machine.  Often, the default realm is the uppercase version of the local  
  DNS domain.                                                               
                                                                            
  Default Kerberos version 5 realm: 


Enter the hostnames of Kerberos servers in the FD3S.SRV.WORLD Kerberos 
 realm separated by spaces.                                                
                                                                            
  Kerberos servers for your realm: 

 Enter the hostname of the administrative (password changing) server for   
  the FD3S.SRV.WORLD Kerberos realm.                                     
                                                                            
  Administrative server for your Kerberos realm:

AD "ad.xyz.edu" 또는 "med.abc.edu"에 가입하려면 무엇을 입력해야 합니까? 제가 아는 한 med.abc.edu를 사용할 필요는 없을 것 같습니다.

참고::"realm Join -U를 실행하면[이메일 보호됨]저는 ad.xyz.edu 수준의 관리자는 아니지만 med.abc.edu 수준의 관리자이기 때문에 "ad.xyz.edu"에서 비밀번호를 요청합니다. 따라서 AD 관리자에게 물어봐야 할 사항은 다음과 같습니다. 다른 해결 방법은 없나요?

답변1

When users attempt to use Kerberos

구성 프롬프트는 "원시" Kerberos 인증을 위한 것입니다. AD(부분적으로)에 사용할 수 있지만완전한 기능의 조인을 제공하지 않습니다– 사용자 정보를 검색하거나 검색할 수 없습니다.안전하게비밀번호를 확인하세요. 실제로 아웃바운드용으로만 사용됩니다.도착하다AD는 기계를 연결합니다.

  • Kerberos 영역은 AD 도메인 이름의 대문자 버전으로, 아마도 AD.XYZ.EDU. 이는 도메인의 모든 사용자에게 항상 동일하며 AD의 사용자 정의 "UPN 접미사"와는 별개입니다.
  • "Kerberos 서버"(KDC)를 제공할 필요는 없습니다. 각 AD DC는 Kerberos KDC이지만 Kerberos는 DNS SRV 레코드를 통해 이를 찾습니다.
  • 세 번째 팁은 Kpasswd 서버(각 AD DC가 비밀번호 변경 요청을 허용하는 서버)와 Kadmin 서버(AD에는 전혀 없으며 모든 관리는 LDAP를 통해 수행됨)를 결합합니다. 나생각하다DNS SRV 레코드가 해당 정보를 제공하므로 여기에 아무것도 입력할 필요가 없지만 이것이 기본적으로 AD에서 작동하는지 잘 기억나지 않습니다. 필요한 경우 AD DC 중 하나의 이름을 입력할 수 있습니다.

그러나 언급한 대로 이는 아웃바운드 액세스에만 충분합니다 kinit. AD 사용자가 "일반" 로그인 방법을 통해 서버에 로그인할 수 있도록 전체 AD 연결을 설정하려면 Samba/winbindd( net join) 또는 SSSD( ) 를 사용해야 합니다 realm join.

(반면: Kerberos 인증을 허용하는 웹 애플리케이션을 설정하는 것이 목표인 경우 AD 조인은 필요하지 않습니다. AD 관리자가 "서비스" 사용자 계정을 만들고 SPN을 설정하도록 하면 충분합니다.)

"realm Join -U"를 실행하면[이메일 보호됨]나는 ad.xyz.edu 수준의 관리자는 아니지만 med.abc.edu 수준의 관리자이기 때문에 "ad.xyz.edu"에는 비밀번호가 필요합니다.

권한이 필요합니다컴퓨터 계정 만들기광고에서. 여기에는 AD 관리자 권한이 반드시 필요한 것은 아닙니다. 계정 운영자이거나 사용자 지정 위임을 갖는 것만으로도 충분할 수 있으며, --computer-ou=다른 AD 관리자를 사용하거나 컴퓨터 계정을 미리 생성하도록 요청할 수 있어야 합니다 .

이는 기본적으로 Windows 시스템에 가입하는 것과 동일하므로 AD 관리자에게 문의하세요.

이미 컴퓨터 계정을 만들었다면 realm join이 작업을 수행하기 위해 사용자 이름을 지정할 필요가 없습니다 --no-password. (컴퓨터 계정에는 새로 생성되거나 재설정되는 비밀번호가 필요하지 않습니다.)

관련 정보