通过haproxy Ubuntu 18.04加入AD

Question

首先，我有几个Ubuntu服务器成功地连接到了与DC位于同一子网中的服务器的域。然而，我正在努力通过has加入几台Ubuntu机器，但遇到了一个奇怪的错误，使我目前陷入困境。由于担心挥动翅膀，我暂时通过haproxy禁用了其中一个DC。

haproxy配置：

frontend DC
    bind *:389
    bind *:636
    bind *:88
    bind *:464
    mode tcp
    option tcplog
    default_backend DC_Backend

backend DC_Backend
    mode tcp
    server dc1 X.X.X.21

总而言之，连接性似乎都很好。

在服务器上，我从服务器连接到与我在网络中成功地连接到的相同的磁盘。此外，我还在/etc/hosts中添加了D1 IP以指向代理的IP地址(Y.20 int.domain.com)

realm join -U linux_ad_admin --computer-ou="OU=LinuxServers,OU=Servers,OU=IT_Systems" int.domain.com --verbose

日志：

 * Resolving: _ldap._tcp.int.domain.com
 * Resolving: int.domain.com
 * Performing LDAP DSE lookup on: Y.Y.Y.20
 * Successfully discovered: int.domain.com
Password for linux_ad_admin: 
 * Required files: /usr/sbin/oddjobd, /usr/libexec/oddjob/mkhomedir, /usr/sbin/sssd, /usr/sbin/adcli
 * LANG=C /usr/sbin/adcli join --verbose --domain int.domain.com --domain-realm INT.DOMAIN.COM --domain-controller Y.Y.Y.20 --computer-ou OU=LinuxServers,OU=Servers,OU=IT_Systems,dc=int,dc=domain,dc=com --login-type user --login-user linux_ad_admin --stdin-password
 * Using domain name: int.domain.com
 * Calculated computer account name from fqdn: DMZHOSTTEST1
 * Using domain realm: int.domain.com
 * Sending NetLogon ping to domain controller: Y.Y.Y.20
 * Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-llM0zh/krb5.d/adcli-krb5-conf-qOXHOs
 * Authenticated as user: linux_ad_admin@INT.DOMAIN.COM
 * Using GSS-SPNEGO for SASL bind
 ! Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
adcli: couldn't connect to int.domain.com domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (Server not found in Kerberos database)
 ! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain

知道我在这里错过了什么吗？在同一子网中，这个相同的命令/帐户将服务器连接到AD，没有问题。但是，通过代理突然给了我不够的权限错误。是否需要额外的开放端口才能通过haproxy？

Answer 1

不确定这是否是最好的方法，但最终能够将服务器连接到域。

haproxy.cfg

frontend DC
    bind *:88
    bind *:135
    bind *:138
    bind *:139
    bind *:389
    bind *:464
    bind *:636
    bind *:1389
    bind *:3268
    bind *:3269
    mode tcp
    option tcplog
    default_backend DC_Backend

backend DC_Backend
    mode tcp
    server dc1 X.X.X.21

此外，我们还使用pen开发了一些UDP代理。

pen -r -U 53 X.X.X.21:53
pen -r -U 88 X.X.X.21:88
pen -r -U 135 X.X.X.21:135
pen -r -U 138 X.X.X.21:138
pen -r -U 389 X.X.X.21:389
pen -r -U 464 X.X.X.21:464

现在的问题是确定如何允许用户通过代理进行身份验证。遇到另一个问题，[nss] [sss_dp_get_reply] (0x0010): The Data Provider returned an error [org.freedesktop.sssd.Error.DataProvider.Offline]。现在就试着解决这个问题。