Ubuntu 20.4.3加域

最新推荐文章于 2024-05-17 22:53:04 发布
最新推荐文章于 2024-05-17 22:53:04 发布
阅读量4k 收藏 19
点赞数 9
分类专栏: Ubuntu 文章标签: ubuntu linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bksz_guest/article/details/128672998
版权

Ubuntu 20.4.3 加域

运行环境

1、Ubuntu Server 20.4.3

2、AD域 :bj.cn

3、域控IP:192.168.1.1

具体步骤

1、修改DNS

user@ubuntu:~$ sudo mv /etc/resolv.conf /etc/resolv.conf.bak

user@ubuntu:~$ sudo vi /etc/systemd/resolved.conf
[Resolve]
DNS=192.168.1.1         #取消注释,填写域控IP
#FallbackDNS=
#Domains=
#LLMNR=no
#MulticastDNS=no
#DNSSEC=no
#DNSOverTLS=no
#Cache=no-negative
#DNSStubListener=yes    
#ReadEtcHosts=yes

user@ubuntu:~$ sudo systemctl restart systemd-resolved

user@ubuntu:~$ sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

user@ubuntu:~$ cat /etc/resolv.conf
nameserver 192.168.1.1

2、安装加域软件包:

user@ubuntu:~$ sudo apt install realmd sssd-ad sssd-tools adcli -y

3、搜索需要加入的AD域

user@ubuntu:~$ sudo realm discover -v bj.cn
bj.cn
  type: kerberos
  realm-name: BJ.CN
  domain-name: bj.cn
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin

4、加入AD域,默认使用administrator 账号认证;也可使用具有管理员身份的账号认证

# 默认administrator认证
# -v 可展示完整的步骤信息
user@ubuntu:~$ sudo realm join -v bj.cn
 * Resolving: _ldap._tcp.bj.cn
 * Performing LDAP DSE lookup on: 192.168.1.1
 * Successfully discovered: bj.cn
Password for Administrator:
....................................................
 * /usr/sbin/update-rc.d sssd enable
 * /usr/sbin/service sssd restart
 * Successfully enrolled machine in realm
  • 使用具有管理员身份的账号认证,例如: -U sz@bj.cn
user@ubuntu:~$ sudo realm join -v bj.cn -U sz@bj.cn
 * Resolving: _ldap._tcp.bj.cn
 * Performing LDAP DSE lookup on: 192.168.1.1
 * Successfully discovered: bj.cn
Password for sz:

5、通过搜索域账号,查看加域是否成功

user@ubuntu:~$ id sz@bj.cn
uid=1854401236(sz@bj.cn) gid=1854400363(domain users) groups=1854400363(domain users)

6、修改sssd.conf,使域账号登录不用输入@后缀;同时赋予sssd.conf 600权限和变更所有者为root,否则重启后进程会启动失败

user@ubuntu:~$ sudo vi /etc/sssd/sssd.conf
fallback_homedir = /home/%u
use_fully_qualified_names = False

user@ubuntu:~$ sudo chmod 600 /etc/sssd/sssd.conf

user@ubuntu:~$ sudo chown root:root /etc/sssd/sssd.conf

user@ubuntu:~$ sudo systemctl restart sssd

beken@wifisz:~$ id sz
uid=1854401236(sz) gid=1854400363(domain users) groups=1854400363(domain users)
  • 补充配置sssd.conf,对IT组和单独用户sz进行登录授权;
ad_server = domain.bj.cn
ad_domain = bj.cn
krb5_realm = BJ.CN
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash           #指定bash
ldap_id_mapping = True
use_fully_qualified_names = False          
fallback_homedir = /home/%u                
access_provider = simple
simple_allow_groups = IT            #允许IT组成员登录
simple_allow_users = sz          #允许单独的用户sz登录

7、第一次使用域账号登录时,自动创建用户目录

user@ubuntu:~$ sudo pam-auth-update --enable mkhomedir

8、赋予域账号sudo权限

user@ubuntu:~$ sudo visudo
%domain\ users  ALL=(ALL)      ALL

故障问题处理

1、GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)

user@ubuntu:~$ sudo vi /etc/krb5.conf
[libdefaults]
default_realm = bj.cn
rdns = false

2、PIDFile= references a path below legacy directory /var/run/, updating /var/run/sssd.pid

# 删除sssd.pid
user@ubuntu:~$ sudo rm /run/sssd.pid

#清除sssd缓存
user@ubuntu:~$ sudo sss_cache -E

优化

1、因为安装了adcli包,SSSD 会自动续订 AD 环境中的 Kerberos 主机密钥表文件。守护程序每天检查计算机帐户密码是否早于配置的值,并在必要时续订密码。默认续订间隔为 30 天。

详细信息可参阅 Redhat 文献资料:https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/windows_integration_guide/sssd-auto-keytab-renewal

user@ubuntu:~$  sudo vi /etc/sssd/sssd.conf
ad_maximum_machine_account_password_age = value_in_days

# 要禁用自动 Kerberos 主机密钥表续订,添加此行
ad_maximum_machine_account_password_age = 0

2、登录加入Active Directory域的系统时,将默认尝试应用组策略。在某些情况下,如果缺少特定策略,登录将被拒绝。

user@ubuntu:~$  sudo vi /etc/sssd/sssd.conf
# 不强制应用组策略
ad_gpo_access_control = permissive
BKsz
关注
  • 9
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ubuntu加入Windows的AD域(使用SSSD和Realm的方式)
马哥私房菜
05-14 1万+
ubuntu加入Windows的AD域(使用SSSD和Realm的方式)
Ubuntu加域后域账号登录账号串号
mgaofeid的博客
08-26 645
Ubuntu加域后域账号登录账号串号错误实例原因分析解决办法 错误实例 例如这里用账号test01登录Ubuntu桌面,进入桌面后进入终端 test02@PCtest01:~$ 这里可以看出账号不是test01 原因分析 加入域的ubuntu可以利用 id命令查看账号信息。 id test01@adc.local 最后发现test02和test01输出的账号的uid是相同的 解决办法 通过添加本地uid方法屏蔽串号账号 vi /etc/passwd 在文件的最好添加串号账号test02的信息避免和正
Ubuntu 16.04加域windowsAD域的具体教程
01-09
本文档介绍了Ubuntu 16.04加入windows AD域的具体详细教程,是亲自操作成功多次后,总结的文档。
如何使用Samba和Winbind将Ubuntu 16.04添加到AD域
weixin_34006468的博客
08-15 714
这篇文章讲述了如何将 Ubuntu 主机加入到 Samba4 AD 域,并实现使用域帐号登录 Ubuntu 系统。 要求: 在 Ubuntu 系统上使用 Samba4 软件来创建活动目录架构 第一步: Ubuntu 系统加入到 Samba4 AD 之前的基本配置 1、在将 Ubuntu 主机加入到 AD DC 之前,你得先确保 Ubuntu 系统中的...
zabbix高可用实现过程
最新发布
Wu 小杰的博客
05-17 681
高可用性 (HA) 通常用于几乎不会停机的关键基础设施。因此,对于任何可能失败的服务,必须有一个故障转移选项,以便在当前服务发生故障时接管。Zabbix提供了一个原生的高可用性解决方案,该解决方案易于设置,不需要任何以前的HA专业知识。原生Zabbix HA可能有助于为Zabbix server的软件/硬件故障提供额外的保护,或者减少因维护而导致的停机时间。在Zabbix高可用性模式下,多个Zabbix server作为集群中的节点运行。
Ubuntu可以加入windows AD域嘛? ubuntu系列
linfeng的博客
04-15 4399
Ubuntu系统加入域环境怎么操作? 问:首先我们来了解一下windows域是什么? 答:windows域是计算机网络的一种形式,其中所有用户帐户 ,计算机,打印机和其他安全主体都在位于称为域控制器的一个或多个中央计算机集群上的中央数据库中注册。 身份验证在域控制器上进行。 在域中使用计算机的每个人都会收到一个唯一的用户帐户,然后可以为该帐户分配对该域内资源的访问权限。 那么我们在跑业务的时候经常用的Linux能不能加入到windows域控制环境中呢? 接下来我们用实验来回答上述问题。 环境介绍: 本次实验
Ubuntu 20.04 使用realmd加入AD域
Linuxprobe18的博客
04-30 4483
导读 本文展示如何使用 realmd ,sssd将 Ubuntu 20.04加入到 Active Directory 域。 本文还进一步为通过 AD 登录的域用户配置 sudo 规则。 设置主机名和DNS 下面命令用来设置正确的主机名和dns服务器地址: bpang@Ubuntu-1:~$ sudo hostnamectl set-hostname Ubuntu-1.pangzb.com bpang@Ubuntu-1:~$ hostnamectl 配置可以和AD域控制器通信的DNS
Ubuntu 20.04使用PBIS工具加入AD域
Free雅轩的博客
04-08 2265
在本文中,我们将在Ubuntu 20.04中安装并配置 PowerBroker Identity Services(PBIS),以便与Windows的域控制器连接在一起。 下载并安装PBIS 我们需要从Github中下载PBIS工具,可以使用下面的命令下载当前版本适用Ubuntu的PBIS工具。 github下载连接为:https://github.com/BeyondTrust/pbis-open/releases/ # 该链接是64位版本的 bob@bob-ubu:~$ wget http
Ubuntu20.04 无法获取域名,无法上网问题
qq_43662275的博客
09-11 1214
Ubuntu20.04无法上网问题,无法获取域名
Ubuntu 20.04.4升级20.04.6离线资源包
06-04
Linux世界中,Ubuntu是一个非常流行的开源操作系统,其长期支持版本(LTS)提供长达五年的维护和支持。本文将详细讲解如何使用提供的“Ubuntu 20.04.4升级20.04.6离线资源包”来更新您的系统,特别是针对那些无法...
linux加入windows域之完美方案
11-09
linux加入windows域之完美方案,亲测可以用。
ubuntu 11.10 加入windows域
09-02
ubuntu 11.10 加入windows域的方法,主要就是利用likewise-open.
Ubuntu22.04 软件安装包
03-28
资源来源于自己部署沙箱时使用的,使用的是Ubuntu22.04.1版本的系统 ps: 因为安装过程涉及到依赖问题,尽可能使用下面的命令安装) 下载后解压及无错安装命令: sudo tar -xvf softbag.tar -C /var/cache/apt/...
Ubuntu 20.4 MAME 0.220的neogeo完整资源
05-03
Ubuntu 20.4与MAME 0.220】 Ubuntu 20.4,也称为Focal Fossa,是Ubuntu操作系统的一个长期支持(LTS)版本,发布于2020年4月。它提供五年的安全更新和支持,直至2025年,这使得它成为个人用户和企业环境中理想的...
ubuntu 20.04.3 刻录光盘apt-get安装包
06-08
ubuntu 20.04.3 刻录光盘apt-get安装包,本地安装,k3b本地安装包; K3b 可以说是一款全功能的光盘烧录应用程序,它支持在你的 Linux 系统中烧录 CD/DVD,而且特别为 KDE 桌面环境作了优化。如果你正在寻求适用于 ...
Ubuntu系统设置静态ip和网关域名
weixin_43500200的博客
06-09 2172
ubuntu 20.04之后是通过/etc/netplan/xx.xxxxxxxx.yaml配置文件来修改。静态ip addresses配置时,一定要在后面加上/24,完整表示如下。其他的配置项都需要添加,要注意配置的缩进格式,这是yaml严格要求的。关于设置ubuntu的网卡,要区分所安装的ubuntu的版本。在文件里面应该已经有了当前系统网卡的基本配置,添加配置。ens192替换成你的服务器上的网卡名称。将yaml配置文件的名字换成自己的。ens160是网卡名,写成自己的。能获取到通信信息,表示成功。
Ubuntu 加入Windows AD域
weixin_34269583的博客
11-18 939
linux加入域中,一般都会想到加入LDAP中,这样管理起来方便,不过在linux下LDAP配置起来可不是很容易的,在企业办公环境中一般windows AD域占据霸主地位,配置方便嘛,针对生产环境的linux集群机器才会选择LDAP,不过有时候在办公环境中也混杂了linux机器,为了规范管理,也是需要把linux机器加入window是 AD中的。 linux加入wi...
ubuntu加入Windows的AD域(使用Samba和Winbind的方式)
马哥私房菜
05-13 9317
ubuntu加入Windows的AD域 Integrate Ubuntu 16.04 to AD as a Domain Member with Samba and Winbind – Part 8 Step 1: Initial Configurations to Join Ubuntu to Samba4 AD 1.首先要修改好自己电脑的hostname,可以使用hostnamectl命令或者...
ubuntu20.4.04如何重置root密码
05-27
Ubuntu 20.04.04中,如果您需要重置root用户密码,可以按照以下步骤操作: 1. 首先,在登录屏幕上按下Ctrl+Alt+F3(或其他F键),切换到终端模式。 2. 在终端中输入您的用户名和密码以登录系统。如果您忘记了用户名或密码,请参考其他相关教程找回。 3. 输入以下命令以切换为root用户身份: ``` sudo -i ``` 4. 输入以下命令以重置root用户密码: ``` passwd root ``` 5. 系统会提示您输入新密码。输入新密码并确认。 6. 重置密码后,使用以下命令退出root用户身份: ``` exit ``` 7. 然后,使用以下命令注销当前用户: ``` logout ``` 8. 最后,返回登录屏幕,使用新密码登录root用户即可。 请注意,在重置root用户密码时,需要确保系统的安全性。建议在必要时才使用root用户身份,并且设置一个强密码以保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值