ปัญหาขณะเพิ่ม CentOS EC2 ลงใน Windows AD

ฉันกำลังพยายามเพิ่มเครื่อง CentOS EC2 ลงใน Windows AD Windows Active Directory ของฉันได้รับการกำหนดค่าบนอินสแตนซ์ EC2 ในบัญชีอื่น มีอินสแตนซ์ AD สองอินสแตนซ์ (หลาย AZ) ที่ได้รับการกำหนดค่าและการจำลองแบบ ฯลฯ ได้รับการกำหนดค่าโดยผู้ดูแลระบบ AD บนเซิร์ฟเวอร์ เขาสร้างผู้ใช้ให้ฉันและแบ่งปันข้อมูลประจำตัวกับฉัน ข้าพเจ้าได้ดำเนินการตามขั้นตอนต่อไปนี้ นี้ เอกสาร AWS เพื่อเพิ่มเครื่อง CentOS EC2 ลงใน Windows AD

ถึงกระนั้น ฉันกำลังแสดงรายการขั้นตอนที่ฉันได้ดำเนินการบนเซิร์ฟเวอร์ของฉัน

• อัปเดต sudo yum -y
• แมว / etc / ชื่อโฮสต์ เอาท์พุต : ip-1-7-2-6.xyz.local
• sudo yum -y ติดตั้ง sssd realmd krb5-workstation samba-common-tools
• sudo realm เข้าร่วม -U [email protected] XYZ.local --verbose
  คำสั่งดังกล่าวทำให้ฉันมีข้อผิดพลาด:
  * กำลังแก้ไข: _ldap._tcp.xyz.local
* กำลังแก้ไข: xyz.local
* ไม่มีผลลัพธ์: xyz.local
ดินแดน: ไม่พบอาณาจักรดังกล่าว

ดังนั้นฉันจึงทำรายการต่อไปนี้ใน sudo vi /etc/hosts ตามที่กล่าวไว้ใน นี้ ลิงค์ IP สองรายการข้างต้นเป็นของ AD Servers ของฉัน

ฉันยังทำการเปลี่ยนแปลง /etc/resolv.conf ดังต่อไปนี้:

จากนั้นฉันก็ใช้ sudo realm ค้นพบ XYZ.local คำสั่งตรวจสอบว่า ดินแดน สามารถค้นพบโดเมน:

ฉันสามารถดูรายละเอียด หลังจากนี้ เมื่อฉันพยายามเข้าร่วมโดเมนอีกครั้ง มันทำให้ฉันเกิดข้อผิดพลาดดังต่อไปนี้:

realm: ไม่สามารถเข้าร่วม realm: ไม่ได้ติดตั้งแพ็คเกจที่จำเป็น: oddjob, oddjob-mhomedir, sssd, adcli

ดังนั้นฉันจึงติดตั้งแพ็คเกจด้านบนด้วย ฉันลองอีกครั้งและข้อผิดพลาดครั้งนี้เปลี่ยนเป็น:

ข้อผิดพลาด :
! ไม่สามารถรับตั๋ว kerberos สำหรับ: [email protected]: ไม่พบ KDC สำหรับขอบเขต "XYZ.local"
adcli: ไม่สามารถเชื่อมต่อกับโดเมน XYZ.local: ไม่สามารถรับตั๋ว kerberos สำหรับ: [email protected]: ไม่พบ KDC สำหรับขอบเขต "XYZ.local"
 ! เข้าร่วมโดเมนไม่สำเร็จ
realm: ไม่สามารถเข้าร่วม realm: ไม่สามารถเข้าร่วมโดเมนได้

ฉันพบวิธีแก้ปัญหาข้างต้นมากกว่า นี้ เชื่อมโยงและดำเนินการคำสั่งอีกครั้ง ครั้งนี้สำเร็จ นี่คือผลลัพธ์:

เอาต์พุตสำหรับ รายการอาณาจักร:

ฉันเหนื่อย รหัส คำสั่งเพื่อตรวจสอบ uid และ gid ของผู้ใช้ รหัสผู้ใช้-shivkumarแต่สิ่งนี้ล้มเหลวด้วยข้อความ ไม่มีผู้ใช้ดังกล่าว.

ฉันยังคงดำเนินการต่อด้วยเอกสาร AWS เพื่อทำตามขั้นตอนทั้งหมดให้เสร็จสิ้น จากนั้นตรวจสอบข้าม
sudo vi /etc/ssh/sshd_config
การตรวจสอบรหัสผ่านใช่
sudo systemctl รีสตาร์ท sshd.service
sudo service sshd รีสตาร์ท
ซูโด วิซูโด
## เพิ่มกลุ่ม "ผู้ดูแลระบบที่ได้รับมอบสิทธิ์ AWS" จากโดเมน example.com %AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ทั้งหมด

นี่คือรายละเอียดของฉัน /etc/sssd/sssd.conf

ฉันยังไม่สามารถเข้าถึงอินสแตนซ์ EC2 โดยใช้ข้อมูลรับรอง AD มันบอกว่า ปฏิเสธการเข้าใช้.

ฉันไม่เข้าใจว่าต้องกำหนดค่าอะไรอีกบ้าง

มันเจ็บปวดทุกครั้งที่ได้ลอง! ฉันลงเอยด้วยการขุดคุ้ย หน้าเรดแฮท เนื่องจากมักเป็นข้อมูลที่ถูกต้องที่สุด

เพียงเพราะคุณเรียกใช้ ดินแดน ไม่ได้หมายความว่า PAM ได้รับการตั้งค่าอย่างถูกต้องเพื่อใช้ AD เป็นแหล่งข้อมูลประจำตัวเพื่อระบุผู้ใช้ ยังมีอีกมากที่ต้องทำ ฉันเชื่อว่าหลังจากเรียกใช้ เข้าร่วมอาณาจักร สั่งการ.

ฉันคิดว่าคุณต้องการดูการตั้งค่า เอสเอสดี โดยใช้ข้อมูลบน หน้าเหล่านี้?

บางครั้งฉันก็มีโชคที่ดีกว่า (ง่ายกว่า) ด้วย แอดคลิ.

Finally, I was able to add my CentOS EC2 Machine to Windows AD. The root cause was the time zone. My CentOS machine timezone was in UTC whereas the AD Server timezone is in IST. Unfortunately none of the blogs which I referred given the detailed steps from start.

Still to complete the answer I am posting all of the steps which I have performed on my machine.

• sudo yum -y update To update the packages and system
• ping X.X.X.X This is a very important step in order to check if you can reach your AD Server. I have executed ping on both of my servers to check they are reachable
• sudo timedatectl set-timezone Asia/Kolkata As I mentioned above this is the root cause in my case, the timezone. Make sure the timezone are the same on your machine and the AD machine.
• date to check the current time and verify the above command is executed successfully
• sudo yum -y install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python Install the necessary packages for realm
• Edit the /etc/hosts file as follows (replace your AD Server IP):
  sudo vi /etc/hosts
X.X.X.X xyz.local MYAD
X.X.X.X xyz.local MYAD
  
• cat /etc/hosts Recheck the host entires
• Edit the /etc/resolv.conf file as follows (replace your AD IP): Comment out the existing nameserver entry and add the following entries (replace your AD Server IP)
  nameserver X.X.X.X
nameserver X.X.X.X
  
• nslookup xyz.local To test the name resolution for your domain controller. Authentication Services relies on DNS (Domain Naming Service) to locate the Key Distributions Center (KDC) which in AD is a domain controller, so if your DNS is not properly configured for your domain it will fail.

If everything is correct till the above step you should be able to see the output from nslookup. You are almost set to add your machine to AD.

• kinit -V [email protected] Test login to the domain. Typically if you are a member of the Domain Administrators group you should be fine. If not ask the AD admins to give you the privilege to join machines to the domain. In my case user-shivkumar has the privilege to join machine to domain. Once you execute this command, it will ask you for the password. If everything is fine you should be able to see Authenticated to Kerberos v5 message or it will show no message and return to the terminal. This means your domain credentials are working for log in. This step will fail if the DNS is not correctly configured or resolvable or if the network connectivity to the ADC is broken. You may see some messages like kinit: Cannot find KDC for realm "XYZ.LOCAL" while getting initial credentials. The other reason for the error might be incorrect username. Also, pay attention to the domain name. It is in capital. The kinit command fails for user authentication because Kerberos is case-sensitive.Here is the right syntax kinit [email protected]. Ensure the domain name is in all CAPS, or else you will get an error.
• sudo realm join -U [email protected] xyz.local --verbose Add machine to domain. If everything is correct you will see the message Successfully enrolled machine in realm
• sudo realm list This command will help you to verify whether the server has joined the Windows domain or not
• id [email protected] With id command on Linux we can verify the user’s uid and gid and their group information. At this point in time, our server is now the part of the Windows domain. Use the id command to verify AD users details. Once you get the output for id command then this means everything is correctly configured.

Now the last thing, set the SSH service to allow password authentication.

• sudo vi /etc/ssh/sshd_config Open this file to enable password authentication
• PasswordAuthentication yes Set the PasswordAuthentication setting to yes.
• sudo systemctl restart sshd.service Restart the SSH service. You can also use the alternate command
• sudo service sshd restart to restart the SSH service.

Now ideally you should be able to login into the machine using your domain credentials. In my case, I am able to log in using [email protected] credentials.

I hope this will help someone.
Happy learning.

References:

• https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html
• https://www.linuxtechi.com/integrate-rhel7-centos7-windows-active-directory/
• https://aws.nz/best-practice/ad-join/
• https://techdirectarchive.com/2020/03/21/cannot-find-kdc-for-realm-while-getting-initial-credentials-kinit-configuration-file-does-not-specify-default-realm/
• https://access.redhat.com/articles/3023951
• https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/windows_integration_guide/index#sssd-ad-proc
• http://www.techpository.com/linux-kinit-cannot-contact-any-kdc-for-realm-while-getting-initial-credentials/#:~:text=February%209-,Linux%3A%20kinit%3A%20Cannot%20contact%20any%20KDC%20for,realm%20while%20getting%20initial%20credentials&text=There%20is%20probably%20one%20of,not%20resolving%20the%20domain%20controller.
• https://unix.stackexchange.com/questions/464648/sssd-and-active-directory-user-does-not-exist-in-centos