Создание доверительных отношений IPA и MSAD

1 Настройки на IPA

1.1 Отключение проверки DNSSEC

Для этого в файле /etc/named/ipa-options-ext.conf приведите параметр к виду:

dnssec-validation no;

Перезагрузить сервер или службу IPA командой:

# systemctl restart ipa

nano /etc/selinux/config

setenforce 0

1.2 Отредактируйте /etc/hosts

Впишите туда адрес сервера MS AD и его хостнейм.

10.81.1.196 dc.win.redos dc

1.3 Настройка времени

На всех серверах и рабочих станциях время должно быть синхронизировано.

nano /etc/chrony.conf

Удалите все остальные строки, начинающиеся на server.

Вставьте следующие строки в файл:

server ntp1.stratum2.ru iburst
server ntp2.stratum2.ru iburst
server ntp3.stratum2.ru iburst

Укажите подсеть:

allow 10.81.1.0/24

Перезапустите сервис chronyd:

systemctl restart chronyd

Проверка:

chronyc sources

1.4 Настройка зоны перенаправления на IPA сервере

На сервере IPA добавьте условный сервер пересылки (зону пересылки dns) для домена Windows AD:

# kinit admin
# ipa dnsforwardzone-add win.redos --forwarder=10.81.1.196 --forward-policy=only

здесь 10.81.1.196 - windows server;

win.redos - имя домена windows.

C помощью web GUI в параметрах DNS-сервера IPA укажите ip-адрес перенаправителя, им должен быть сервер Windows.

У вас должно получится примерно следующее:

Проверьте, резолвится ли сервер MS AD. Воспользуйтесь командой:

# nslookup dc.win.redos
Server:      10.81.1.67
Address:     10.81.1.67#53
Non-authoritative answer:
Name:  dc.win.redos
Address: 10.81.1.196

Вам должен вернуться адрес вашего MS AD.

Так же проверьте SRV записи.

# dig SRV _ldap._tcp.redos.ipa 
 
# dig SRV _ldap._tcp.win.redos

1.5 Переустановка samba-dc

Убедитесь, что установлена актуальная версия samba:

dnf update samba

Для корректной работы IPA сервера и MS AD требуется версия samba с поддержкой MIT Kerberos. Для ее установки выполните команду:

dnf dg samba

После этого перезапустите сервис ipa:

systemctl restart ipa.service

Проверьте Samba на наличие MIT Kerberos:

smbd -b | grep HAVE_KADM5SRV_MIT

Должны получить вывод:

HAVE_KADM5SRV_MIT

Для исключения пакетов samba из обновлений, в файл /etc/dnf/dnf.conf добавьте строку:

exclude=libsmbclient libwbclient python3-samba python3-samba-dc samba*

2 Настройка DNS на сервере Windows

Вам нужно сделать так, что бы доменом IPA сервера управлял DNS IPA.

В случае разных доменов создайте сервер условной пересылки.

1. Откройте Диспетчер DNS и перейдите на вкладку «Серверы условной пересылки».
2. В контекстном меню выберите «Создать сервер условной пересылки».
3. Впишите DNS домен сервера IPA и его ip адрес.
4. Выберите «Все DNS серверы в этом лесу» и нажмите ОК.
5. Ниже приведен примерный результат:

Также это можно сделать с помощью команды:

dnscmd 127.0.0.1 /ZoneAdd redos.ipa /Forwarder 10.81.1.67

Кроме этого необходимо добавить глобальный "Сервер пересылки" в свойствах dns сервера windows. Для этого в диспетчере DNS нажмите правой клавиши мыши на сервере DNS (SERV) и в выпадающем меню выберите "Свойства", перейдите на вкладку "Сервер пересылки", нажмите на кнопку "Изменить" и в открывшемся окне введите ip-адрес сервера IPA.

Также это можно сделать с помощью команды:

dnscmd 127.0.0.1 /ResetForwarders 10.81.1.67 /Slave

Проверьте конфигурацию DNS на сервере Windows.

Чтобы убедиться, что сервер AD может корректно видеть IPA, проверьте, правильно ли разрешены записи SRV.

C:\> nslookup
> set type=srv
> _ldap._tcp.win.redos> _ldap._tcp.redos.ipa> quit

3 Добавьте доверительные отношения между доменами

3.1 Сконфигурируйте сервер IPA для доверительных отношений с AD.

# ipa-adtrust-install

Отвечайте на все вопросы скрипта положительно (yes)

При доступе пользователей AD к IPA-клиентам обязательно запустите ipa-adtrust-install на каждом IPA-сервере, к которому будут подключаться клиенты IPA.

3.2 Добавьте доверительные отношения.

#ipa trust-add --type=ad win.redos --range-type ipa-ad-trust --admin admin --password --two-way=TRUE

При появлении запроса введите пароль администратора. Если все будет настроено правильно, будет установлено доверие к домену AD.

Пароль администратора домена Active Directory:
----------------------------------------------------------------------------
Добавлено отношение доверия Active Directory для области (realm) "win.redos"
----------------------------------------------------------------------------
Имя области (realm): win.redos
Имя домена NetBIOS: WIN
Идентификатор безопасности домена: ***
Направление отношения доверия: Двустороннее отношение доверия
Тип отношения доверия: Домен Active Directory
Состояние отношения доверия: Установлено и проверено

На этом этапе IPA создаст одностороннее доверие к лесу на стороне IPA, создаст одностороннее доверие к лесу на стороне AD и инициирует проверку доверия с AD-стороны. Для двустороннего доверия нужно добавить опцию --two-way=true.

3.3 После того, как установлена ​​доверительное отношение на стороне AD, необходимо получить список доверенных доменов леса со стороны AD. Это делается с помощью следующей команды:

# ipa trust-fetch-domains "win.redos"

При успехе IPA получит информацию о доверенных доменах и создаст для них все необходимые идентификаторы.

Используйте «trustdomain-find», чтобы просмотреть список доверенных доменов из доверенного леса:

# ipa trustdomain-find "win.redos"

3.4 Создать внешнюю группу, сопоставленную с группой posix freeipa: это позволит предоставить право внешней группе. Затем active directory группа администраторов домена сопоставляется с группой ad_admins, которая принадлежит пользователю admins. В этом случае каждый администратор домена windows имеет некоторый грант администратора freeipa:

ipa group-add --desc='ad domain external map' ad_admins_external --external
ipa group-add --desc='ad domain users' ad_admins
ipa group-add-member ad_admins_external --external 'WIN.REDOS\Администраторы домена'
ipa group-add-member ad_admins --groups ad_admins_external

Дата последнего изменения: 23.09.2024

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.