Содержание

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents


Info
titleДанная статья применима к:
  • ОС ОН Орёл 2.12
  • ОС СН Смоленск 1.6
  • ОС СН Ленинград 8.1


Настройка монтирования DFS по имени доверенного домена AD


В данной инструкции описываются действия для обеспечения паспознавания распознавания и монтирования разделяемого ресурса DFS при указании ресурса с использованием только имени домена, без указания имени хоста.
Подразумевается, что используется настроенный сервер FreeIPA с настроенными отношеними  доверия с контроллером домена AD.

Пример команды монтирования с полным именем:

Command
sudo mount -t cifs -o user=user@windomain.ru,domain=windomain.ru,cruid=user@windomain.ru,sec=krb5 //win.windomain.ru/pub /mnt/

Пример команды монтирования с именем домена:

Command
sudo mount -t cifs -o user=user@windomain.ru,domain=windomain.ru,cruid=user@windomain.ru,sec=krb5 //windomain.ru/pub /mnt/


Для того, чтобы домен AD позволял клиентам домена FreeIPA монтировать разделяемые сетевые ресурсы DFS, обращаясь к ним по имени домена, на контроллере домена Windows AD должна быть зарегистрирована служба контроллера AD для соотвествующего имени. Сделать это можно выполнив на контроллере Windows AD следующие команды:

Command
setspn -s cifs/windomain.ru winhost

где:

  • windomain.ru - имя домена AD;
  • winhost - короткое имя сервера DFS;

Для того, чтобы клиенты домена FreeIPA могли получать адреса серверов домена AD по их коротким именам следует настроить разрешение коротких имён хостов доверенного домена.


Настройки клиента FreeIPA для разрешения коротких имён хостов доверенного домена

В данной инструкции описываются действия для обеспечения автоматического получения клиентами FreeIPA IP-адресов хостов доверенного домена (т.е. разрешения коротких имён хостов доверенного домена).
Подразумевается, что используется настроенный сервер FreeIPA с настроенными отношеними  доверия с контроллером домена AD.

  1. На сервере FreeIPA должна быть настроена зона перенаправления поиска имён, где в качестве сервера имён должен быть указан контроллер домена AD.
     
  2. Клиентские компьютеры обращаются за разрешением имён к контроллеру FreeIPA, который обрабатывает полученные запросы отвечая на них самостоятельно или передавая серверам перенаправления. При этом параметры разрешения имён настраиваются на клиентских машинах следующим образом:
    1. Для компьютеров в домене FreeIPA, получающих IP-адреса динамически, разрешение коротких имён хостов в Windows-домене можно включить НА СЕРВЕРЕ DHCP добавлением опции domain-search в конфигурационный файл службы DHCP:

      Code Block
      option domain-search "windomain.loc", "ipadomain.loc" ;


    2. Для компьютеров в домене FreeIPA, имеющих статические адреса, аналогичная настройка выполняется в файле конфигурации сети /etc/resolv.conf с помощью параметра search, в котором через пробел можно указать до 6-ти доменных имён, например:

      Code Block
      search ipadomain.ru windomain.ru
      nameserver 10.0.2.100
      nameserver 192.168.32.1
      nameserver 8.8.8.8


  3. Отдельный список поиска доменов можно задать  в контроллере FreeIPA (этот список не имеет прямого отношения к DNS, и нужен для поиска коротких имён службой SSSD):

    Command
    ipa config-mod --domain-resolution-order "ipadomain.ru:windomain.ru"


  4. Поиск короткого имени в нескольких доменах - чисто клиентская настройка, и подобные настройки в DNS-серверах не предусмотрены.