Исходные настройки
Предполагается, что к началу настройки доверительных отношений выполнены следующие условия:
- Имеется домен Active Directory (AD), с настроенным и работающим контроллером домена:
- с условным названием домена windomain.ad
- соответственно, с именем NETBIOS WINDOMAIN
- имеется выделенный сервер контроллера домена:
- с условным названием winserver
- с фиксированным IP-адресом (далее <IP-адрес_контроллера_AD>)
- под управленим Windows Server 2008 R2 или другого сервера Windows, поддерживающего роль контроллера домена
- администратор сервера AD имеет имя Administrator, и его пароль известен
- Имеется сервер FreeIPA с ностроенным доменом FreeIPA
- с условным названием ipadomain.ipa
- соответственно, с именем NETBIOS IPADOMAIN
- имеется выделенный сервер FreeIPA
- с операционной системой ОСОН Орёл
- с условным названием ipaserver
- с фиксированным IP-адресом (далее <IP-адрес_сервера_FreeIPA>)
- администратор сервера FreeIPA имеет имя admin и его пароль известен
Серверы winserver и ipaserver находятся в одной сети, и на всех серверах успешно выполняются команды
ping <IP-адрес_сервера_FreeIPA>
и
ping <IP-адрес_контроллера_AD>
Предполагается, что к началу настройки доверительных отношений службы FreeIPA уже установлены и запущены. Если нет, то настройка и запуск выполняются командами:
sudo astra-freeipa-server -d ipadomain.ipa -o
FreeIPA: Включение доверительных отнношений
Полномочия администратора
Получаем полномочия админиастратора домена, и, заодно, проверяем работопособность служб FreeIPA.
Следующие команды на сервере FreeIPA должны отработаться без ошибок:
id admin
getent passwd admin
Включение службы доверительных отношений
Включаем службу доверительных отношений во FreeIPA командой
sudo ipa-adtrust-install
На все вопросы ответить «да» («y»), несмотря на то, что по умолчанию там «нет».
Вести пароль администратора домена IPA.
Проверить правильность автоматического определения доменного имени, и нажать Enter.
Еще раз ответить «y».
Настройка и проверка перенаправления DNS
Добавление зоны перенаправления осуществляется командой:
Проверки успешного выполнения команды:
Проверка #1, сервер должен быть доступен:
Проверка #2, служба должна быть доступна:
Проверка #3, служба должна быть доступна:
Проверка 4, работоспособность службы samba
kvno cifs/ipasever.ipadomain.ipa@IPADOMAIN.IPA
smbclient -k -L ipaserver.ipadomain.ipa
Установление доверительных отношений между доменами:
Устанавливаем одностороннее доверительное отношение
(одностороннее доверие к Active Directory, при котором область FreeIPA доверяет лесу доменов Active Directory,
используя механизм доверительных отношений между деревьями доменов AD,
но дерево доменов AD не доверяет области FreeIPA.
Пользователи дерева доменов AD получают доступ к ресурсам области FreeIPA):
Получение списка доверенных доменов:
ipa trust-fetch-domains windomain.ad
Проверка, домен должен быть найден:
Добавление групп пользователей
ipa group-add --desc='ad domain users' ad_admins
ipa group-add-member ad_admins_external --external 'windomain.ad\Domain Admins'
(на запросы «member_user» и «member_group» просто нажать «ввод»)
ipa group-add-member ad_admins --groups ad_admins_external
Получение идентификатора безопасности пользователей AD
на сервере AD командой из оболочки CMD (но не из оболочки PowerShell!):
на сервере IPA:
Добавление разделяемого каталога
Добавление разделяемого каталога /share_dir, доступного для пользователей AD под именем «share_name»:
sudo net conf setparm 'share_name' 'comment' 'Trust test share'
sudo net conf setparm 'share_name' 'read only' 'no'
sudo net conf setparm 'share_name' 'valid users' "$d_admins_sid"
sudo net conf setparm 'share_name' 'path' '/share_dir'
Проверить, что ресурс добавлен, можно командой:
После добавления можно проверить, что ресурс доступен с сервера AD winserver.
Настройка доверительных отношений с Active Directory
Описана на отдельной странице