...
Предполагается, что к началу настройки доверительных отношений службы FreeIPA уже установлены и запущены. Если нет, то настройка и запуск выполняются командами:
| Информацияcommand |
|---|
| sudo apt-get install astra-freeipa-server sudo astra-freeipa-server -d ipadomain.ipa -o |
...
Получаем полномочия администратора домена, и, заодно, проверяем работопособность служб FreeIPA.
Следующие команды на сервере FreeIPA должны выполняться без ошибок:
| Информацияcommand |
|---|
| kinit admin id admin getent passwd admin |
...
Добавление зоны перенаправления осуществляется командой:
| Информацияcommand |
|---|
| ipa dnsforwardzone-add windomain.ad --forwarder=WIN_IP --forward-policy=only |
...
Проверка #1, сервер должен быть доступен:
| Информацияcommand |
|---|
| ping -c 3 winserver.windomain.ad |
Проверка #2, служба должна быть доступна:
| Информацияcommand |
|---|
| dig SRV _ldap._srv.ipadomain.ipa |
Проверка #3, служба должна быть доступна:
| Информацияcommand |
|---|
| dig SRV _ldap._srv.windomain.ad |
Проверка 4, работоспособность службы samba
| Информацияcommand |
|---|
kvno cifs/ipasever.ipadomain.ipa@IPADOMAIN.IPA |
...
Устанавливаем одностороннее доверительное отношение
(одностороннее доверие к Active Directory, при котором область FreeIPA доверяет лесу доменов Active Directory,
используя механизм доверительных отношений между деревьями доменов AD,
но дерево доменов AD не доверяет области FreeIPA.
Пользователи дерева доменов AD получают доступ к ресурсам области FreeIPA):
| Информацияcommand |
|---|
| ipa trust-add --type=ad windomain.ad --admin Administrator --password |
Получение списка доверенных доменов:
| Информацияcommand |
|---|
ipa trust-fetch-domains windomain.ad |
Проверка, домен должен быть найден:
| Информацияcommand |
|---|
| ipa trustdomain-find windomain.ad |
Добавление групп пользователей
| Информацияcommand |
|---|
| ipa group-add --desc='ad domain external map' ad_admins_external --external ipa group-add --desc='ad domain users' ad_admins ipa group-add-member ad_admins_external --external 'windomain.ad\Domain Admins' (на запросы «member_user» и «member_group» просто нажать «ввод») ipa group-add-member ad_admins --groups ad_admins_external |
...
на сервере AD командой из оболочки CMD (но не из оболочки PowerShell!):
| Информацияcommand |
|---|
| c:\> wmic useraccount get name,sid |
на сервере IPA:
| Информацияcommand |
|---|
| ipa group-show ad_admins_external --raw |
...
Добавление разделяемого каталога /share_dir, доступного для пользователей AD под именем «share_name»:
| Информацияcommand |
|---|
| sudo mkdir /share_dir sudo net conf setparm 'share_name' 'comment' 'Trust test share' sudo net conf setparm 'share_name' 'read only' 'no' sudo net conf setparm 'share_name' 'valid users' "$d_admins_sid" sudo net conf setparm 'share_name' 'path' '/share_dir' |
Проверить, что ресурс добавлен, можно командой:
| Информацияcommand |
|---|
| smbclient -k -L ipaserver.ipadomain.ipa |
...