Kerberos et Ubuntu 18

Question

J'essaie de configurer une jointure automatique au domaine sur mes stations de travail Ubuntu. J'ai tout en place (je crois au moins que la commande suivante fonctionne bien)

net ads join -U <username>

Maintenant, j'ai deux questions. Est-ce que quelqu'un pourrait m'expliquer ce que font l'option -k ou --kerberos et quand peut-elle être utilisée? Et aussi quelqu'un a-t-il automatisé ce processus? Jusqu'à présent, j'ai la configuration de marionnettes pour déployer tous les fichiers de configuration (krb, sssd, samba. Tous ceux-ci sont configurés et fonctionnent manuellement) et exécuter la jointure des annonces réseau à la fin, mais cela semble échouer (aucune surprise car je ne fournis pas avec les informations d’identité), une personne m’a demandé d’exécuter la commande ci-dessus avec l’option -k, mais cela semble également échouer.

Oskar L · Accepted Answer

Réponse à cela était d'utiliser

net ads join -U username%password

Ceci et un nouvel utilisateur sur le domaine qui dispose d'un droit unique d'ajouter des périphériques au domaine ont résolu mon problème.

Sebastian Stark · Answer

-k utilisera l'authentification Kerberos. Ainsi, si vous avez un ticket d'un principal capable de créer des objets informatiques dans AD, la commande net ads join fonctionnera sans fournir d'autres informations d'identification.

Le processus serait:

obtenir un ticket: kinit <user>, où <user> est e. g. un compte administrateur de domaine
exécuter la jointure: net ads join -k

Vous pouvez le faire depuis un script. Vous pouvez même envisager d'utiliser msktutil pour le faire, au cas où vous ne voudriez pas que tous les éléments de samba soient installés sur le client. Le msktutil remplacerait la commande net ads join.

Quant à l’automatisation complète, c’est une question un peu vague, mais le concept clé serait d’avoir un moyen de pré-créer les comptes d’ordinateur dans l’ANNONCE (vous pouvez utiliser msktuil, net ads ou l’interface graphique Windows), utilisez l'un des outils pour rejoindre le client en utilisant un mot de passe par défaut.

Si vous avez un groupe d’administrateurs distinct qui gère l’AD, il créera probablement les objets ordinateur pour vous. Si vous devez le faire vous-même, je ne vois pas l'utilité de l'automatiser de toute façon, car cela ne vous épargnera aucun travail.