5.8. Active Directory に参加する
ここで、chrony と samba を再起動し、sssd を起動します。
sudo systemctl chrony.service を再起動します
sudo systemctl restart smbd.service nmbd.service sudo systemctl start sssd.service
Kerberos チケットを取得して構成をテストします。
sudo kinit 管理者
次の方法でチケットを確認します。
須藤klist
有効期限が記載されたチケットがある場合は、ドメインに参加する時期が来ています。
sudo ネット広告参加 -k
「DNS ドメインが設定されていません。DNS 更新を実行できません。」に関する警告。 おそらく、(正しい) エイリアスが存在しないことを意味します /etc/hosts、システムは Active Directory 更新の一部として独自の FQDN を提供できませんでした。 これは動的 DNS 更新に必要です。 エイリアスを確認します /etc/hosts 上記の「/etc/hosts の変更」で説明されています。
(メッセージ「NT_STATUS_UNSUCCESSFUL」は、ドメインへの参加が失敗し、何かが間違っていることを示しています。続行する前に、前の手順を確認してください)。
ここでは、ドメインへの参加が成功したことを確認するための (オプションの) チェックをいくつか示します。 ドメインが正常に参加したにもかかわらず、これらの手順の 1 つまたは両方が失敗した場合は、2 ~ XNUMX 分待ってから再試行する必要がある場合があることに注意してください。 変更の一部は非同期であるように見えます。
検証オプション #1:
Active Directory 内のコンピュータ アカウントのデフォルトの組織単位をチェックして、コンピュータ アカウントが作成されたことを確認します。 (Active Directory の組織単位は、このガイドの範囲外のトピックです)。
検証オプション #2
特定の AD ユーザー (管理者など) に対してこのコマンドを実行します。
getent パスワードのユーザー名
If 列挙 = true に設定されています sssd.conf, getent パスワード ユーザー名引数を指定しないと、すべてのドメイン ユーザーがリストされます。 これはテストには役立つかもしれませんが、速度が遅いため、実稼働環境には推奨されません。