Score:0

โฆษณาแซมบ้า: สร้างแท็บคีย์สำหรับคอมพิวเตอร์โดยไม่มีโฆษณาสุทธิเข้าร่วมหรือไม่

ธง cn

ส่วนสำคัญ: ฉันได้ตั้งค่าแซมบ้าเป็น AD DC ฉันต้องการส่งออกแท็บคีย์สำหรับ SPN สำหรับบัญชีคอมพิวเตอร์เท่านั้น ปราศจาก ให้คอมพิวเตอร์รัน samba เองหรือมีปัญหา โฆษณาสุทธิเข้าร่วม. วิ่ง แท็บส่งออกโดเมนเครื่องมือ samba ทำให้ฉันไม่มีรหัสสำหรับ SPN และฉันเชื่อว่าเป็นเพราะไม่มีรหัสผ่านของเครื่อง ฉันจะแก้ไขได้อย่างไร

รุ่นยาว: ฉันได้ตั้งค่า Samba เป็นตัวควบคุมโดเมนหลัก AD ที่มีคุณสมบัติครบถ้วน การตรวจสอบผู้ใช้ใช้งานได้ DNS ใช้งานได้ ฯลฯ ดังนั้นฉันค่อนข้างแน่ใจว่าเซิร์ฟเวอร์นั้นใช้ได้ นอกจากนี้ มีสองเครื่องที่เข้าร่วมกับโดเมนแล้วและแท็บคีย์ใช้งานได้ ดังนั้นเซิร์ฟเวอร์อาจไม่ใช่ความผิด แต่เป็น PEBKAC

ตอนนี้ฉันมีแคช Squid ที่ทำงานด้วย FreeBSD และฉันต้องการตั้งค่าการตรวจสอบสิทธิ์ Kerberos สำหรับพร็อกซีฉันไม่ต้องการเรียกใช้ Samba บนเครื่องนี้ - ไม่มีเหตุผลสำหรับสิ่งนี้ ดังนั้นฉันจึงคิดว่าการสร้างบัญชีคอมพิวเตอร์ การตั้งค่า SPN และการส่งออกคีย์แท็บอาจได้ผล แต่ก็ไม่เป็นเช่นนั้น

โดยเฉพาะฉันวิ่ง คอมพิวเตอร์ samba-tool เพิ่ม PROXYMACHINE --ip-address=172.19.9.22 --ip-address=dead:beef:cafe::22 --service-principal-name='host/proxymachine.example.com' --service- ชื่อหลัก = 'HTTP/proxymachine.example.com'. ทุกอย่างทำงานได้ดี วิ่ง แสดงคอมพิวเตอร์เครื่องมือแซมบ้า PROXYMACHINE ให้ข้อมูลครบถ้วน

อย่างไรก็ตามการวิ่ง แท็บส่งออกโดเมนเครื่องมือ samba สมบูรณ์ แท็บคีย์ ไม่ให้คีย์ใด ๆ สำหรับ SPN ของเครื่องแก่ฉัน เงื่อนไขตัวกรองไม่ทำงานเช่นกัน เครื่องมือแซมบ้า บอกฉันว่า "ส่งออกสองหลักการไปที่ krb5.keytab" แต่ไม่มีไฟล์อยู่ (แม้ว่า เครื่องมือแซมบ้า ออกด้วย RC 0)

ข้อแตกต่างระหว่างคอมพิวเตอร์ที่เข้าร่วมกับเครื่องนี้คือไม่มีรหัสผ่าน ดังนั้นฉันเชื่อว่าสิ่งนี้ อาจ เป็นผู้ร้าย แต่ฉันไม่รู้วิธีตั้งรหัสผ่านเครื่อง และฉันไม่สามารถยืนยันได้ว่านี่เป็นปัญหาจริง - อาจเป็นอย่างอื่น

ดังนั้น สิ่งสำคัญที่สุดคือ ฉันต้องทำอย่างไรเพื่อ (1) จัดการคอมพิวเตอร์เป็น "รายการสินค้าคงคลัง" (บัญชีคอมพิวเตอร์) (2) เชื่อมโยง SPN กับคอมพิวเตอร์ และ (3) ส่งออกสิ่งเหล่านั้นไปยังแท็บคีย์ kerberos หรือแนวทางของฉันอาจผิดทั้งหมด?

Score:0
ธง cn

รหัสผ่านคอมพิวเตอร์ถูกกำหนดโดยการเข้าร่วมโดเมน คอมพิวเตอร์จัดการบัญชีของพวกเขา และยังสามารถอยู่ภายใต้นโยบายได้อีกด้วย อย่างไรก็ตาม เซิร์ฟเวอร์โฆษณามักจะไม่บังคับใช้นโยบายในลักษณะเดียวกับที่บังคับใช้กับบัญชีผู้ใช้ เช่น หากเครื่องไม่สามารถเปลี่ยนรหัสผ่านได้ เครื่องจะไม่ถูกแยกออกจากโดเมน

สำหรับคำถาม การวิจัยและการลองผิดลองถูกใน VM นำไปสู่ตัวเลือกโซลูชันต่อไปนี้:

  1. เพียงแค่ใช้ วินบินด์. นั่นหมายถึงการติดตั้งชุด samba การกำหนดค่า samba daemon และการออก โฆษณาสุทธิเข้าร่วม -k. ดูเหมือนจะเป็นวิธีดั้งเดิมที่ใช้โดยบทเรียนเกือบทั้งหมดบนอินเทอร์เน็ต จุดเด่น: แท็บคีย์บอร์ด kerberberos และการค้นหาผู้ใช้
  2. ใช้ เอสเอสดีโดยเฉพาะโมดูล sssd-ad sssd ยังสามารถเข้าร่วมโดเมนผ่านผู้ให้บริการ AD. จากนั้น sssd จะใช้ kerberos (สำหรับการตรวจสอบสิทธิ์) + LDAP (สำหรับการค้นหาผู้ใช้/การให้สิทธิ์)
  3. ในกรณีที่คุณไม่จำเป็นต้องค้นหาผู้ใช้ (เช่นเดียวกับปัญหา Squid เดิม) msktutil อาจจะเป็นสำหรับคุณ สร้างบัญชีผู้ใช้และถ่ายโอนแท็บคีย์ แต่ไม่มี daemon สำหรับการค้นหาผู้ใช้

การเลือกระหว่าง 1/2 และ 3 นั้นง่ายมาก สำหรับคำถามเดิม: ฉันเลือก (3) เพราะฉันไม่ต้องค้นหาข้อมูลผู้ใช้ แต่หากต้องการค้นหาข้อมูลผู้ใช้ ตัวเลือกระหว่าง 1 และ 2 ดูเหมือนจะไม่ชัดเจน Redhat สนับสนุน sssd (เปรียบเทียบ https://www.redhat.com/en/blog/overview-direct-integration-options, SSSD กับ Winbind) ให้เหตุผลว่า sssd เสถียรกว่าและอาจเร็วกว่า ฉันถูกกัดมากกว่าหนึ่งครั้งโดย วินบินด์ เพียงแค่ต้องตายเพราะความล้มเหลวของเครือข่าย ดังนั้นฉันจึงสามารถเกี่ยวข้องกับเรื่องนั้นได้ แต่ฉันไม่มีหลักฐานที่แน่ชัด

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา