Двусторонние доверительные отношения FreeIPA - ActiveDirectory

Окружение

• Astra Linux Special Edition 1.6
• Astra Linux Common Edition 2.12.29
• ПК СВ "Брест" 2.9   Astra Linux Special Edition 1.6 Update 10 (№ 20211126SE16)

Вопрос

Как настроить двусторонние доверительные отношения FreeIPA — ActiveDirectory для взаимного доступа к ресурсам?

Ответ

FreeIPA поддерживает двусторонние доверительные отношения с ActiveDirectory, и на уровне Kerberos они работают полноценно.

В FreeIPA функция Global Catalog или ее аналог не реализована, поэтому в ACL ActiveDirectory нельзя использовать объекты из FreeIPA. В связи с этим нет возможности войти в качестве пользователя FreeIPA в ОС Windows или разграничить права на сетевой каталог smb для пользователей FreeIPA. При необходимости взаимного доступа к ресурсам оптимальной является возможность миграции пользователей AD в FreeIPA согласно инструкции (pdf-файл для скачивания). 

Дополнительные материалы:

• РУСБ.10015-01 95 01-1. Руководство администратора. Часть 1, пункт 7.3.9, а так же статья (см. здесь);
• Build a Global Catalog Service;
• Файловый сервер Samba c доступом по группам FreeIPA и аутентификацией по Kerberos (pdf-файл для скачивания).