主页 / server / 问题 / 597219
Accepted
Banjer
Asked: 2014-05-21 05:21:07 +0800 CST

“net ads join”在 puppet exec 中失败,但直接从命令行运行正常

  • 772

我有以下exec将 Linux (CentOS 6) 主机加入 Active Directory 域的内容。从 bash 终端以 root 身份运行时,它会成功运行,并且主机已正确加入 AD 域。

但是,当在 puppet 中运行时,net ads join命令失败并显示:

加入域失败:为机器帐户设置密码失败(NT_STATUS_ACCESS_DENIED)

这是执行

exec { 'adjoin':
    command  => "kinit [email protected] -k -t /etc/krb5.keytab && net ads join createcomputer='Machines/Servers/Linux Servers' osName='${operatingsystem}' osVer=${operatingsystemrelease} -k",
    unless   => "net ads testjoin -k | grep -q 'Join is OK'",
    provider => shell,
    user     => root,
    path     => '/usr/sbin:/usr/bin:/sbin:/bin',
    require  => [
        File['/etc/krb5.conf'],
        File['/etc/krb5.keytab'],
    ],
    logoutput => true,
}

我尝试过使用和不使用provideranduser参数。

linux

1 个回答

  1. Best Answer

    事实证明,我必须使用environmentexec 中的参数显式设置一些环境变量,特别是LOGNAME

    exec { 'adjoin':
    command  => "kinit [email protected] -k -t /etc/krb5.keytab && net ads join createcomputer='Machines/Servers/Linux Servers' osName='${operatingsystem}' osVer=${operatingsystemrelease} -k",
    unless   => "net ads testjoin -k | grep -q 'Join is OK'",
    provider => shell,
    user     => root,
    path     => '/usr/sbin:/usr/bin:/sbin:/bin',
    require  => [
        File['/etc/krb5.conf'],
        File['/etc/krb5.keytab'],
    ],
    logoutput => true,
    environment => [
        'USER=root',
        'LOGNAME=root',
        'HOME=/root',
    ],
}

    有两个原因:

    1. 没有 LOGNAME env 变量的 net ads -k join 失败

    2. LOGNAME、USER 和 HOME在 exec 运行期间由 puppet 专门取消设置。这是我链接到的票中详细说明的设计选择。

    为了理智起见,我还设置了 USER 和 HOME,尽管我不确定net ads.

    • 5

相关问题