我正在尝试将我的RHEL 7 VM机器join到我们公司的AD中。 我可以使用kinitvalidation我的login凭证(如果input了正确的密码,则返回错误,如果input错误,则返回错误)。但是,当我尝试使用realmdjoin时,表示我没有足够的权限join。 使用net ads join --user=MyUser返回“无法为机器帐户设置帐户标志(NT_STATUS_ACCESS_DENIED)”。 我没有对AD的pipe理访问权限,但是,其中一位pipe理员将我的RHEL机器添加到AD。 我试过重新安装桑巴和KBR,但没有帮助。 我也玩过configuration,但我似乎无法得到它的工作。 任何帮助将非常感激。
RHEL7包含了非常好的realmd 。 试试这个 。
由于机器帐户存在,您可能不需要AD中的pipe理员权限。 另外,你不需要扩展AD模式来覆盖rfc2307。
如果你正确地configuration了kerberos(klist在kinit之后显示krb票据),那么你的机器帐号在AD中可能有问题。 joinAD需要pipe理员帐户或有权join域中的客户端,因为它必须为您的PC创build具有唯一SID的计算机帐户。 接下来你需要做的是validationkerberos keytab。 它用于持票签票。 它是通过networking广告join或在AD上创build的。
既然你使用的是RHEL7,我会推荐使用SSSD
configurationSSSD以使用Windows 2008或更高版本的域服务器进行身份validation