Окружение

Вопрос

Как настроить двусторонние доверительные отношения FreeIPA — Active Directory (MS AD) для взаимного доступа к ресурсам?

Ответ

В Astra Linux Special Edition 1.6 и Astra Linux Common Edition 2.12 FreeIPA поддерживает двусторонние доверительные отношения с MS AD, и на уровне Kerberos они работают полноценно.

Во FreeIPA функция Global Catalog или ее аналог не реализована, поэтому в списки доступа ACL на стороне домена MS AD невозможно добавить объекты из домена FreeIPA, используя стандартные оснастки Windows. В связи с этим нет возможности разграничить права на вход в ОС Windows или доступ к общему файловому ресурсу для пользователей FreeIPA.

На рабочие станции Windows вход разрешен всем авторизованным пользователям, поэтому при установлении двусторонних доверительных отношений пользователи FreeIPA могут входить в ОС Windows на стороне домена MS AD, но не на контроллеры домена, т. к. на контроллеры устанавливается более строгая политика входа.

Еще одним способом предоставления доступа является копирование пользователей AD во FreeIPA согласно инструкции (pdf-файл для скачивания). 

Однако, при копировании информация будет перенесена только один раз. Для этих целей создан модуль синхронизации, который может поддерживать целостность информации в двух доменах, включая пароли пользователей. С его помощью пользователь может получить доступ по логину/паролю к любой системе, вне зависимости от того, к какому домену она подключена.

Дополнительные материалы:

В Astra Linux Special Edition 1.7 Update 4 (№ 2023-0426SE17) и Astra Linux Special Edition 1.8 двусторонние доверительные отношения описаны в статье Справочного центра Двусторонние доверительные отношения доменов ALD Pro (FreeIPA) и Windows AD.