2 votos

No pueden participar en Ubuntu/Linux para Active Directory del dominio del usuario. Trabaja con clientes de Windows

Estoy tratando de unirse a un Ubuntu/Linux equipo al dominio de Active Directory como un usuario normal de cuenta de que es no es un miembro del dominio-grupo de administradores.

Me pueden unirse a los equipos Windows bien. Usted no tiene que ser admin, pero tiene un cupo de equipos en los que puede unirse sin necesidad de ser un administrador.

Pero cuando trato de poner un Linux Ubuntu equipo en el dominio, se produce un error con el siguiente mensaje de error. Agradecería cualquier ayuda en esto.

daniel@linux01:~$ sudo realm join -v -U 'daniel@AD.example.com' AD.example.com
[sudo] password for daniel:
 * Resolving: _ldap._tcp.ad.example.com
 * Performing LDAP DSE lookup on: 10.0.0.10
 * Successfully discovered: ad.example.com
Password for daniel@AD.example.com:
 * Unconditionally checking packages
 * Resolving required packages
 * LANG=C /usr/sbin/adcli join --verbose --domain ad.example.com --domain-realm AD.example.com --domain-controller 10.0.0.10 --login-type user --login-user daniel@AD.example.com --stdin-password
 * Using domain name: ad.example.com
 * Calculated computer account name from fqdn: LINUX01
 * Using domain realm: ad.example.com
 * Sending NetLogon ping to domain controller: 10.0.0.10
 * Received NetLogon info from: dc1.ad.example.com
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-iIuXdP/krb5.d/adcli-krb5-conf-eeT5bO
 * Authenticated as user: daniel@AD.example.com
 * Looked up short domain name: AD
 * Looked up domain SID: S-1-5-21-13313029-848207003-2406435418
 * Using fully qualified name: linux01.ad.example.com
 * Using domain name: ad.example.com
 * Using computer account name: LINUX01
 * Using domain realm: ad.example.com
 * Calculated computer account name from fqdn: LINUX01
 * Generated 120 character computer password
 * Using keytab: FILE:/etc/krb5.keytab
 * Computer account for LINUX01$ does not exist
 * Found well known computer container at: CN=Computers,DC=ad,DC=example,DC=com
 * Calculated computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com
 * Encryption type [3] not permitted.
 * Encryption type [1] not permitted.
 ! Insufficient permissions to modify computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com: 000020E7: AtrErr: DSID-03153402, #1:
        0: 000020E7: DSID-03153402, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4

adcli: joining domain ad.example.com failed: Insufficient permissions to modify computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com: 000020E7: AtrErr: DSID-03153402, #1:
        0: 000020E7: DSID-03153402, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4

 ! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain

-1voto

wazoox Puntos 3514

No va a proporcionar cualquier Contenedor de Nombre (CN en los mensajes de error) para la Linux01 máquina se inserta en el valor de "Equipos" CN. Mi conjetura es que su cuenta de usuario no ha privilegios suficientes para alterar esta CN, o más probablemente, que ni siquiera existe en su ANUNCIO, por lo que debe proporcionar una completa CN camino.

En Windows, cuando la adición de un equipo para el ANUNCIO de la interfaz gráfica de usuario le permite navegar por el árbol de Dominio y seleccione el contenedor adecuado (de la hoja). Probablemente, usted debe agregar una entrada en su realm.conf archivo, o agregar la unidad organizativa de la información directamente a la línea de comandos.

/etc/realmd.conf valores predeterminados:

[domain.example.com]
computer-ou = OU=Linux Computers,DC=AD,DC=example,DC=com
# computer-ou = OU=Linux Computers,

En la línea de comandos:

realm join --user=daniel@AD.example.com AD.example.com --computer-ou='Linux ComputersDC=AD,DC=example,DC=com'

En primer lugar, encontrar la OU/CN con ldapsearch :

ldapsearch -LLL -H ldap://AD.example.com -b adc,dc=example,dc=com -D 'AD\daniel'  -W '(name=web_servers)' dn

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: