18.04 - 加入 AD 问题

提供我自己的解决方案作为完整指南。

免责声明：我在这个网站上整理了不同的答案并添加了我自己的部分。我还在整个指南中假设 su 特权。

使用 Ubuntu 18.04 加入 AD 网络

0)确保/etc/hosts和/etc/hostname文件包含与您的域管理员提供的凭据相符的地址和名称。还要安装以下软件包：

$ apt install -y realmd sssd sssd-tools libnss-sss libpam-sss krb5-user adcli samba-common-bin

注意：安装 kerberos 时会提示插入您的领域和域名。跟进，但如果你不知道一些位，请留空。

1)禁用 systemd-resolved

$ systemctl disable systemd-resolved.service
$ systemctl stop systemd-resolved

注意：这是我找到的方式，但禁用 systemd-resolved 可能并不理想。

2）将以下内容添加到/etc/NetworkManager/NetworkManager.conf该[main]部分：

dns=default

3）删除符号链接/etc/resolv.conf。它将使用正确的值重新创建。

4）重启网络服务，添加dnsmasq包：

$ service network-manager restart
$ apt install dnsmasq

5）在/etc/nsswitch.conf替换主机行中：

hosts: files dns [NOTFOUND=return] mdns4_minimal mdns4

注意：如果您有问题，请尝试此行hosts: files dns myhostname。

6)将以下内容添加到/etc/krb5.conf. 它是区分大小写的，所以要小心。还要删除其他所有内容（首先备份默认值$ cp /etc/krb5.conf /etc/krb5.conf.bak）。如果某个部分不存在，请自行添加：

[libdefaults]
default_realm = YOUR.REALM.NAME
dns_lookup_realm = false
dns_lookup_kdc = false
default_ccache_name = KEYRING:persistent:%{uid}
rdns = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
YOUR.REALM.NAME = {
  kdc = your.realm.name
  admin_server = your.realm.name
}

[domain_realm]
your.realm.name = YOUR.REALM.NAME
.your.realm.name = YOUR.REALM.NAME

注意：强制查找关闭，对调试有很大帮助，通常我发现查看正在发生的事情非常有用，这与该主题的所有其他指南基本相反。此外，反向 dns 行rnds可能仅与我的网络设置相关，因此请尝试true是否发生某些问题的值。

7)检查/etc/sssd/sssd.conf以包括以下内容。从第 6 点开始适用相同的指导方针和限制）。可能已经设置了一些值：

[sssd]
domains = your.realm.name
config_file_version = 2
services = nss, pam

[domain/your.domain.name]
ad_domain = your.domain.name
krb5_realm = YOUR.DOMAIN.NAME
realmd_tags = manages-system joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

8)重启

9）加入您的域（需要管理员凭据。您将被要求输入管理员密码）：

$ realm join -v --user=[admin_username] your.realm.name

注意：详细的-v标签对于查看可能出现的问题基本上是必不可少的。在这一点上，如果你真的通过了发现步骤（总是命令的第一步join），如果发生了一些非常详细的错误，那么最坏的情况应该已经过去了。

祝你好运！

太好了，你分享！我有同样的初始问题：

realm: No such realm found:

我正在遵循这些指南：

• https://computingforgeeks.com/join-ubuntu-debian-to-active-directory-ad-domain/
• https://www.server-world.info/en/note?os=Ubuntu_18.04&p=realmd

我的问题通过两个较小的操作解决了：

1. 安装生成的新 netplan 设置文件如下所示：

   cat /etc/netplan/50-cloud-init.yaml:
   

   就像这样：

   network:
     ethernets:
       enp0s4:
           addresses:
           - 192.168.1.8/24
           gateway4: 192.168.1.3
           nameservers:
               addresses:
               - 192.168.1.252
               - 192.168.1.253
               - 192.168.1.3
               - 1.1.1.1
               search:
               - domain.loc
   version: 2
   

   当我切换到经过验证的旧设置结构时，它看起来像这样：

   network:
     ethernets:
       enp0s4:
           dhcp4: no
           addresses: [192.168.1.8/24]
           gateway4: 192.168.1.3
           nameservers:
             addresses: [192.168.1.252,192.168.1.253,192.168.1.3,1.1.1.1]
   version: 2
   

   后一个例子是我让它发挥作用所需要的。

2. 禁用 IPv6 -（也许这不是最初的问题，但我在尝试 netplan 解决方案之前禁用了它，所以我已经对其进行了调整，所以我想分享它。）

   我更改了这两行/etc/default/grub并添加了ipv6.disable=1：

   GRUB_CMDLINE_LINUX_DEFAULT="ipv6.disable=1"
   GRUB_CMDLINE_LINUX="ipv6.disable=1"
   

   并跑了update-grub。

我有两台机器都运行 Kubuntu，还有一台运行 Samba 4 AD 服务器的 Nethserver (CentOS) 服务器。

其中一台客户端机器较旧，并已多次更新。另一台客户端机器上安装了相当新的 Kubuntu 19.10。

出于某种原因，域登录停止在旧机器上工作。我一直在检查两台机器上的配置，看看它们的不同之处。

新机器没有 krb5.conf 或 realmd.conf。旧机器可以。不知何故，在 sssd.conf 文件中，该行

ldap_id_mapping = True

已更改为假。

我删除了这两个配置文件并将 ldap_id_mapping 值改回 True，一切似乎恢复正常。如果您遇到问题，可以删除文件并尝试默认设置。至少可以缩小问题的根源。