Вопросы Теги

Kerberos и Ubuntu 18

Я пытаюсь настроить автоматизированный, соединяют с доменом на моих рабочих станциях Ubuntu. Я имею в распоряжении все (я по крайней мере Думаю, да, поскольку следующая команда хорошо работает),

net ads join -U <username>

Теперь у меня есть два вопроса. Кто-то мог объяснить мне, что делает опция-k или - kerberos и когда она могла использоваться? И также у кого-либо есть sucesfully, автоматизировал этот процесс? У меня до сих пор есть марионеточная установка для развертывания всех файлов конфигурации (krb, sssd, самба. Все те настроены и работа при ручном выполнении) и выполните сетевое соединение рекламы в конце однако, это, кажется, перестало работать (не удивительно, поскольку я не предоставляю ему учетные данные), кто-то упомянул мне для выполнения вышеупомянутой команды с-k опцией однако, которая, кажется, перестала работать также.

1
задан 13 December 2018 в 17:48

2 ответа

Ответьте на это, должен был использовать 

net ads join -U username%password

Это и новый пользователь на домене, который имеет единственное право добавляющих устройств к домену, устранил мою проблему.

0
ответ дан 7 December 2019 в 15:10

-k будет использовать kerberos аутентификацию, поэтому если у Вас будет билет от принципала, который может создать компьютерные объекты в AD, то сетевая команда соединения рекламы будет работать, не обеспечивая дальнейшие учетные данные.

процесс был бы:

  • получают билет: kinit <user>, где <user>, например, учетная запись

  • Администратора домена выполняет соединение: net ads join -k

можно сделать это из сценария. Можно даже рассмотреть использование msktutil, чтобы сделать это, в случае, если Вы не хотите иметь весь материал самбы, установленный на клиенте. msktutil заменил бы сетевую команду соединения рекламы.

относительно полностью автоматизации, которая является определенным неопределенным вопросом, но ключевое понятие состояло бы в том, чтобы иметь некоторый способ предварительно создать учетные записи компьютера в AD (можно использовать msktuil, сетевую рекламу или Windows GUI для этого), затем используйте один из инструментов для фактического присоединения к клиенту, использующему некоторый пароль по умолчанию.

, Если у Вас есть отдельная группа admin, управляющая AD, они, вероятно, предварительно создадут компьютерные объекты для Вас. Если необходимо сделать это сами, я не вижу большой полноценности в автоматизации этого так или иначе, поскольку она не сохранит Вас никакая работа.

1
ответ дан 7 December 2019 в 15:10

Другие вопросы по тегам:

Похожие вопросы: