#1 Le 25/01/2022, à 18:55
- Iutech
[Abandonné] Ubuntu sur AD : realm offre une seule option pour --user
Bonjour à tous.
J'ai trouvé plusieurs tutoriels (c-nergy.be/blog/?p=16472 par exemple) pour ajouter un Ubuntu Focal Fossa à un domaine #ActiveDirectory, tous assez semblables.
Le domaine que nous utilisons est royaume.structure.fr, ce qui est assez classique comme structure de nom.
Mais j'ai deux (ou trois ?) problèmes non prévus par aucun des tutos.
Le premier est le FQDN : chez nous les machines Windows que nous joignons au domaine ont comme nom d'hôte "XXXn" (XXX le nom de notre sous-structure et n un numéro), comme nom au DNS XXXn.XXX.structure.fr et apparemment sous Windows comme "nom complet de l'appareil" XXXn.royaume.structure.fr.
Les tutoriels disent qu'il faut leur donner comme hostname leur FQDN sur l'AD : donc j'imagine XXXn.royaume.structure.fr ?
Le deuxième problème est plus gênant : quand je tape
realm join --user iutech royaume.structure.fr il me demande le mot de passe pour iutech@royaume.structure.fr.
Or mon "utilisateur autorisé à joindre le domaine" est iutech@structure.fr et il n'y a pas (à ma connaissance, et donc je n'en ai pas le mot de passe) de compte iutech@royaume.structure.fr
Et si je lui donne le mot de passe que j'ai pour iutech@structure.fr, j'obtiens le message
realm: Couldn't join realm: Insufficient permissions to join the domainOr c'est bien avec cet utilisateur iutech@structure.fr (et ce mot de passe) que sous Windows je joins des machines au domaine royaume.structure.fr.
L'autre solution proposée par les tutos (et donc mon troisième problème, ou bien la suite du deuxième si la cause est la même) est de commencer par demander un ticket Kerberos avec kinit mais si je fais "kinit iutech", de même il me demande
Password for iutech@royaume.structure.fr:et si je le lui donne j'ai
kinit: KDC reply did not match expectations while getting initial credentialsJ'ai tenté kinit iutech@structure.fr et kinit iutech@STRUCTURE.FR mais là j'obtiens
kinit: Cannot find KDC for realm "STRUCTURE.FR" while getting initial credentialsJ'ai regardé ce que dit man realm mais il ne semble pas y avoir d'option permettant de fixer un nom complet (iutech@structure.fr), quand je tente "realm join --user iutech@structure.fr" j'obtiens
See: journalctl REALMD_OPERATION=r29283.49808
realm: Couldn't join realm: Failed to join the domainDonc apparemment il cherche dans Kerberos iutech@structure.fr@royaume.structure.fr ? C'est logique qu'il ne le trouve pas...
/etc/krb5.conf a, sans que je n'aie à le modifier, ce contenu :
[libdefaults]
default_realm = royaume.structure.fr
# The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# The only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).
# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1
# The following libdefaults parameters are only for Heimdal Kerberos.
fcc-mit-ticketflags = true
[realms]
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu
kdc = kerberos-1.mit.edu
kdc = kerberos-2.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
CSAIL.MIT.EDU = {
admin_server = kerberos.csail.mit.edu
default_domain = csail.mit.edu
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
ANDREW.CMU.EDU = {
admin_server = kerberos.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos-1.srv.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
kdc = kerberos-3.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementix.org
kdc = kerberos2.dementix.org
admin_server = kerberos.dementix.org
}
stanford.edu = {
kdc = krb5auth1.stanford.edu
kdc = krb5auth2.stanford.edu
kdc = krb5auth3.stanford.edu
master_kdc = krb5auth1.stanford.edu
admin_server = krb5-admin.stanford.edu
default_domain = stanford.edu
}
UTORONTO.CA = {
kdc = kerberos1.utoronto.ca
kdc = kerberos2.utoronto.ca
kdc = kerberos3.utoronto.ca
admin_server = kerberos1.utoronto.ca
default_domain = utoronto.ca
}
[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.csail.mit.edu = CSAIL.MIT.EDU
csail.mit.edu = CSAIL.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu
.slac.stanford.edu = SLAC.STANFORD.EDU
.toronto.edu = UTORONTO.CA
.utoronto.ca = UTORONTO.CADonc oui de base il a le bon domaine Active Directory, je ne sais ni pourquoi ni comment.
Dernière modification par Iutech (Le 12/04/2022, à 14:35)
Hors ligne
#2 Le 12/04/2022, à 14:09
- Iutech
Re : [Abandonné] Ubuntu sur AD : realm offre une seule option pour --user
Apparemment nous ne nous pouvons pas joindre de machines non Windows au domaine, sur décision de l'administrateur du domaine AD.
(NB : j'ai voulu modifier le nom du sujet en le préfixant par [Abandonné] mais cela s'est révélé impossible)
Dernière modification par Iutech (Le 12/04/2022, à 14:12)
Hors ligne
#3 Le 12/04/2022, à 14:34
- cqfd93
Re : [Abandonné] Ubuntu sur AD : realm offre une seule option pour --user
Bonjour,
(NB : j'ai voulu modifier le nom du sujet en le préfixant par [Abandonné] mais cela s'est révélé impossible)
C'est juste dû au nombre maximum de caractères du titre. Remplace « Active directory » par « AD » et tu auras la place pour préfixer le titre.
− cqfd93 −
Hors ligne