...
- Имеется домен Active Directory (AD), с настроенным и работающим контроллером домена:
- С условным названием домена windomain.ad;
- Соответственно, с именем NETBIOS WINDOMAIN;
- Имеется выделенный сервер контроллера домена:
- С условным названием winserver;
- С фиксированным IP-адресом (далее <IP-адрес_контроллера_AD>);
Под управленим Windows Server 2008 R2 или другого сервера Windows, поддерживающего роль контроллера домена;
Примечание В данном примере использовался английский вариант сервера.
Если вы используете русский - не забудьте перевести названия групп AD- Администратор сервера AD имеет имя Administrator, и его пароль известен;
- Имеется сервер FreeIPA с настроенным доменом FreeIPA:
- С условным названием ipadomain.ipa;
- Соответственно, с именем NETBIOS IPADOMAIN;
- Имеется выделенный сервер FreeIPA:
- С операционной системой ОСОН Орёл;
- С условным названием ipaserver;
- С фиксированным IP-адресом (далее <IP-адрес_сервера_FreeIPA>);
- Администратор сервера FreeIPA имеет имя admin и его пароль известен;
Серверы winserver и ipaserver находятся в одной сети, и на всех серверах успешно выполняются команды
Command ping <IP-адрес_сервера_FreeIPA> и
Command ping <IP-адрес_контроллера_AD>
...
Включение службы доверительных отношений
Включаем службу доверительных отношений во FreeIPA командой
| Command |
|---|
sudo ipa-adtrust-install |
...
Настройка и проверка перенаправления DNS
Добавление зоны перенаправления осуществляется командой:
| Command |
|---|
| ipa dnsforwardzone-add windomain.ad --forwarder=WIN_IP --forward-policy=only |
...
| Command |
|---|
| ping -c 3 winserver.windomain.ad |
Проверка #2, служба должна быть доступна:
| Command |
|---|
| dig SRV _ldap._tcp.ipadomain.ipa |
...
| Command |
|---|
| dig SRV _ldap._tcp.windomain.ad |
Проверка 4, работоспособность службы samba
| Command |
|---|
kvno cifs/ipasever.ipadomain.ipa@IPADOMAIN.IPA |
...
Получение списка доверенных доменов:
| Command |
|---|
ipa trust-fetch-domains windomain.ad |
Проверка, домен должен быть найден:
...
| Command |
|---|
| ipa group-add --desc='ad domain external map' ad_admins_external --external ipa group-add --desc='ad domain users' ad_admins ipa group-add-member ad_admins_external --external 'windomain.ad\Domain Admins' (на запросы «member_user» и «member_group» просто нажать «ввод») ipa group-add-member ad_admins --groups ad_admins_external |
Для русскоязычного варианта сервера:
| Информация |
|---|
ipa group-add --desc='ad domain external map' ad_admins_external --external |
Получение идентификатора безопасности пользователей AD
...
| Command |
|---|
| c:\> wmic useraccount get name,sid |
на сервере IPA:
| Command |
|---|
| ipa group-show ad_admins_external --raw |
...