2.2.2 Ввод Windows в домен IPA
Скачать документПредполагается, что у вас уже есть IPA домен, готовый к использованию. В этом примере IPA устанавливается в домен ipa.test.
IPA будет предоставлять услугу аутентификации для клиента Windows с помощью Kerberos. IPA не может поддерживать базу данных учетных записей для компьютеров Windows таким же образом, что и Active Directory, поэтому нам по-прежнему необходимо создавать локальные учетные записи Windows для каждого пользователя на компьютере под управлением Windows, хотя у них не будет паролей, установленных в Windows.
Настройка IPA
Войдите в IPA и на вкладке Identity, выберите Hosts. Нажмите кнопку +Add, чтобы создать новый хост.
Введите имя хоста компьютера Windows, в примере - «test-vm». Укажите DNS зону.
Далее на сервере IPA нужно запустить команду ipa-getkeytab для создания файла keytab для созданного хоста. Чтобы выполнять административные задачи на сервере IPA, сначала нужно аутентифицироваться, делается это с помощью команды kinit, укажите пользователя admin, как показано ниже.
[ root @ ipa ~] # kinit admin Password for admin@IPA.TEST :
Затем вы можете запустить команду «klist», чтобы проверить, что у вас есть действительный билет керберос.
Нужно выполнить команду ipa-getkeytab, как показано ниже.
[root@ipa~] # ipa-getkeytab -s dc.ipa.test -p host/test-vm.ipa.test -e arcfour-hmac -k krb5.keytab.windows -P New Principal Password: Verify Principal Password:
Keytab successfully retrieved and stored in: krb5.keytab.windows
-s используется для указания IPA-сервера, в примере dc.ipa.test
-p используется для указания главного имени хоста, которым в примере является «host/», за которым следует полное доменное имя (FQDN) компьютера Windows, которое мы добавили через веб-интерфейс IPA ранее.
-e используется для указания типа шифрования, используемого для генерации ключей, здесь мы используем arcfour-hmac.
-k используется для указания файла keytab, который мы хотим создать, в этом случае файл krb5.keytab.windows будет создан в текущем рабочем каталоге.
-P используется для указания пароля для ключа, вам нужно будет запомнить его, поскольку мы войдем на компьютер с Windows позже.
Если вы получите сообщение об ошибке " Kerberos user principal could not be found. Do you have a valid credential cache?" Убедитесь, что вы успешно выполнили команду «kinit».
Настройка Windows
Необходимо, чтобы компьютер с ОС Windows разрешал имя сервера IPA с помощью DNS, поэтому убедитесь, что он имеет соответствующую конфигурацию DNS. В примере IPA-сервер управляет DNS зонами, по этому Windows-машина использует IPA в качестве DNS сервера.
На компьютере Windows откройте командную строку от имени администратора и выполните приведенные ниже команды. Обратите внимание, что Realm должен быть указан заглавными буквами. В примере REALM – IPA.TEST, KDC - IPA-сервер dc.ipa.test
ksetup /setdomain [REALM] ksetup /addkdc [REALM] [KDC] ksetup /addkpasswd [REALM] [KDC] ksetup /setcomputerpassword [ПАРОЛЬ] ksetup /mapuser * *
Затем нажмите клавишу Windows + R, чтобы открыть окно «Выполнить», введите gpedit.msc и выберите «ОК».
Это откроет редактор локальной групповой политики.
В разделе «Параметры конфигурации компьютера» выберите «Конфигурация Windows»> «Параметры безопасности»> «Локальные политики»> «Параметры безопасности»> «Сетевая безопасность настройка типов шифрования, разрешенных Kerberos.
В этом случае мы выберем все, кроме первых двух параметров DES. Выберите «Применить» или «ОК», чтобы сохранить изменения.
Перезагрузите компьютер Windows, чтобы применить изменения ksetup.
Создайте локальную учетную запись пользователя с именем пользователя IPA. Пароль задавать не нужно..
Вы можете создать локальную учетную запись пользователя, нажав клавишу Windows + R, чтобы открыть окно «Выполнить», и введите «mmc», затем нажмите «ОК».
В открывшемся MMC, выберите «Файл»> «Добавить или удалить оснастку».
В следующем окне выберите «Локальные пользователи и группы», затем нажмите кнопку «Добавить», затем «Готово», затем «ОК». Отсюда вы можете создавать свои локальные учетные записи пользователей в Windows. Помните, что не нужно добавлять пароли. Имя пользователя также должно совпадать с именем пользователя, которое существует в IPA.
Настройка удаленного рабочего стола
По умолчанию новая учетная запись пользователя не сможет подключаться по удаленному рабочему столу. Находясь в оснастке «Локальные пользователи и группы» добавьте созданного пользователя в группу «пользователи удаленного рабочего стола»
Вот и все, теперь вы можете войти в Windows с этой учетной записью. Вам нужно будет указать имя пользователя @REALM для входа в систему, поэтому, если вы будете следовать этому примеру, используйте win-test@IPA.TEST.
Дата последнего изменения: 13.01.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.