Проблемы при добавлении CentOS EC2 в Windows AD

Я пытаюсь добавить свою машину CentOS EC2 в Windows AD. Мой Windows Active Directory настроен на экземпляре EC2 в другой учетной записи. Есть два экземпляра AD (Multi-AZ), которые настроены, а репликация и т. д. настраивается администратором AD на серверах. Он создал для меня пользователя и поделился со мной учетными данными. Я выполнил следующие шаги в соответствии с это Документация AWS для добавления машины CentOS EC2 в Windows AD.

Тем не менее, я перечисляю шаги, которые я выполнил на своем сервере.

• sudo yum -y обновить
• кот /etc/имя хоста Вывод : ip-1-7-2-6.xyz.local
• sudo yum -y установить sssd realmd krb5-workstation samba-common-tools
• sudo realm join -U [email protected] XYZ.local --verbose
  Приведенная выше команда дала мне ошибку:
  * Разрешение: _ldap._tcp.xyz.local
* Разрешение: xyz.local
* Нет результатов: xyz.local
область: такой области не найдено

Поэтому я сделал следующие записи в судо-ви /etc/hosts как упоминалось в это соединять. Вышеупомянутые два IP-адреса принадлежат моим серверам AD.

Я также внес изменения в /etc/resolv.conf следующее :

Затем я использовал область sudo обнаружить XYZ.local команда, чтобы проверить, если область может обнаружить домен:

Я могу видеть детали. После этого, когда я снова попытался присоединиться к домену, я выдал следующую ошибку:

realm: Не удалось подключиться к realm: Не установлены необходимые пакеты:odjob,odjob-mkhomedir,sssd,adcli

Поэтому я также установил вышеуказанные пакеты. Я попробовал еще раз, и на этот раз ошибка изменилась на:

Ошибка :
! Не удалось получить билет kerberos для: [email protected]: не удалось найти KDC для области "XYZ.local"
adcli: не удалось подключиться к домену XYZ.local: не удалось получить билет kerberos для: [email protected]: не удалось найти KDC для области «XYZ.local»
 ! Не удалось присоединиться к домену
область: Не удалось присоединиться к сфере: Не удалось присоединиться к домену

Я нашел решение вышеуказанной проблемы более это link и снова выполнил команду. На этот раз удачно. Вот результат:

Выход для список областей:

Я пытался я бы команда для проверки uid и gid пользователя идентификатор пользователя-shivkumar, но это не удалось с сообщением нет такого пользователя.

Тем не менее, я продолжил работу с документом AWS, чтобы выполнить все шаги, а затем перепроверить.
судо-ви /etc/ssh/sshd_config
Аутентификация по паролю да
sudo systemctl перезапустить sshd.service
перезапустить службу sudo sshd
Судо Визудо
## Добавьте группу «Делегированные администраторы AWS» из домена example.com. %AWS\ Delegated\ [email protected] ALL=(ALL:ALL) ALL

Вот подробности моего /etc/sssd/sssd.conf

Тем не менее я не могу получить доступ к экземпляру EC2, используя учетные данные AD. Это говорит Доступ закрыт.

Я не могу понять, какие еще настройки нужно сделать?

Это всегда было больно каждый раз, когда я пробовал это! Я заканчиваю тем, что выкапываю Страницы RedHat поскольку они часто являются наиболее точной информацией.

Просто потому, что вы запустили область не означает, что PAM правильно настроен для использования AD в качестве источника идентификации для идентификации пользователей. Мне еще многое предстоит сделать после запуска присоединиться к царству команда.

Я думаю, вы хотите изучить настройку твердотельный накопитель используя информацию о эти страницы?

Мне также иногда везло (проще) с использованием адкли.

Finally, I was able to add my CentOS EC2 Machine to Windows AD. The root cause was the time zone. My CentOS machine timezone was in UTC whereas the AD Server timezone is in IST. Unfortunately none of the blogs which I referred given the detailed steps from start.

Still to complete the answer I am posting all of the steps which I have performed on my machine.

• sudo yum -y update To update the packages and system
• ping X.X.X.X This is a very important step in order to check if you can reach your AD Server. I have executed ping on both of my servers to check they are reachable
• sudo timedatectl set-timezone Asia/Kolkata As I mentioned above this is the root cause in my case, the timezone. Make sure the timezone are the same on your machine and the AD machine.
• date to check the current time and verify the above command is executed successfully
• sudo yum -y install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python Install the necessary packages for realm
• Edit the /etc/hosts file as follows (replace your AD Server IP):
  sudo vi /etc/hosts
X.X.X.X xyz.local MYAD
X.X.X.X xyz.local MYAD
  
• cat /etc/hosts Recheck the host entires
• Edit the /etc/resolv.conf file as follows (replace your AD IP): Comment out the existing nameserver entry and add the following entries (replace your AD Server IP)
  nameserver X.X.X.X
nameserver X.X.X.X
  
• nslookup xyz.local To test the name resolution for your domain controller. Authentication Services relies on DNS (Domain Naming Service) to locate the Key Distributions Center (KDC) which in AD is a domain controller, so if your DNS is not properly configured for your domain it will fail.

If everything is correct till the above step you should be able to see the output from nslookup. You are almost set to add your machine to AD.

• kinit -V [email protected] Test login to the domain. Typically if you are a member of the Domain Administrators group you should be fine. If not ask the AD admins to give you the privilege to join machines to the domain. In my case user-shivkumar has the privilege to join machine to domain. Once you execute this command, it will ask you for the password. If everything is fine you should be able to see Authenticated to Kerberos v5 message or it will show no message and return to the terminal. This means your domain credentials are working for log in. This step will fail if the DNS is not correctly configured or resolvable or if the network connectivity to the ADC is broken. You may see some messages like kinit: Cannot find KDC for realm "XYZ.LOCAL" while getting initial credentials. The other reason for the error might be incorrect username. Also, pay attention to the domain name. It is in capital. The kinit command fails for user authentication because Kerberos is case-sensitive.Here is the right syntax kinit [email protected]. Ensure the domain name is in all CAPS, or else you will get an error.
• sudo realm join -U [email protected] xyz.local --verbose Add machine to domain. If everything is correct you will see the message Successfully enrolled machine in realm
• sudo realm list This command will help you to verify whether the server has joined the Windows domain or not
• id [email protected] With id command on Linux we can verify the user’s uid and gid and their group information. At this point in time, our server is now the part of the Windows domain. Use the id command to verify AD users details. Once you get the output for id command then this means everything is correctly configured.

Now the last thing, set the SSH service to allow password authentication.

• sudo vi /etc/ssh/sshd_config Open this file to enable password authentication
• PasswordAuthentication yes Set the PasswordAuthentication setting to yes.
• sudo systemctl restart sshd.service Restart the SSH service. You can also use the alternate command
• sudo service sshd restart to restart the SSH service.

Now ideally you should be able to login into the machine using your domain credentials. In my case, I am able to log in using [email protected] credentials.

I hope this will help someone.
Happy learning.

References:

• https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html
• https://www.linuxtechi.com/integrate-rhel7-centos7-windows-active-directory/
• https://aws.nz/best-practice/ad-join/
• https://techdirectarchive.com/2020/03/21/cannot-find-kdc-for-realm-while-getting-initial-credentials-kinit-configuration-file-does-not-specify-default-realm/
• https://access.redhat.com/articles/3023951
• https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/windows_integration_guide/index#sssd-ad-proc
• http://www.techpository.com/linux-kinit-cannot-contact-any-kdc-for-realm-while-getting-initial-credentials/#:~:text=February%209-,Linux%3A%20kinit%3A%20Cannot%20contact%20any%20KDC%20for,realm%20while%20getting%20initial%20credentials&text=There%20is%20probably%20one%20of,not%20resolving%20the%20domain%20controller.
• https://unix.stackexchange.com/questions/464648/sssd-and-active-directory-user-does-not-exist-in-centos