Входные данные Настройка контроллера домена IPA Настройка DNS на сервере Windows Добавление доверительных отношений между доменами
Окружение
Для примера создания доверительных отношений будут использоваться следующие данные:
Домен IPA – redosipa.test:
redosipa.test
Полное доменное имя (FQDN) контроллера домена – server.redosipa.test;
server.redosipa.test
IP-адрес контроллера домена – 192.168.114.63.
192.168.114.63
Домен MSAD - win.redos:
win.redos
Полное доменное имя (FQDN) контроллера домена – dc.win.redos;
dc.win.redos
IP-адрес контроллера домена – 192.168.186.212.
192.168.186.212
Для отключения проверки DNSSec в файле /etc/named/ipa-options-ext.conf приведите параметр к виду:
dnssec-validation no;
Для применения изменений перезапустите службу IPA командой:
sudo systemctl restart ipa
В файле /etc/hosts укажите IP-адрес сервера MSAD и его доменное имя:
sudo nano /etc/hosts
192.168.186.212 dc.win.redos dc
На всех серверах и рабочих станциях время должно быть синхронизировано.
sudo nano /etc/chrony.conf
Добавьте серверы синхронизации времени:
server ntp1.vniiftri.ru iburst server ntp2.vniiftri.ru iburst server ntp3.vniiftri.ru iburst server ntp4.vniiftri.ru iburst
Укажите подсеть:
allow 192.168.114.0/24
Перезапустите службу времени chronyd:
sudo systemctl restart chronyd
Проверьте информацию об используемых источниках текущего времени:
chronyc sources
На сервере IPA добавьте условный сервер пересылки (зону пересылки DNS) для домена MSAD:
sudo kinit admin sudo ipa dnsforwardzone-add win.redos --forwarder=192.168.186.212 --forward-policy=only
где:
192.168.186.212 - IP-адрес сервера Windows;
win.redos - домен сервера Windows.
В веб-интерфейсе, доступном по адресу http://<IP-адрес_сервера_IPA>, перейдите в «Сетевые службы», в ниспадающем меню «DNS» выберите пункт «Зоны перенаправления DNS». Кликните по имени зоны и укажите IP-адрес перенаправителя, им должен быть сервер Windows.
В результате должно получится примерно следующее:
Проверьте, корректно ли разрешаются доменные имена сервера MSAD. Для этого воспользуйтесь командой:
nslookup dc.win.redos Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: Name: dc.win.redos Address: 192.168.186.212
В ответе команды должен вернуться IP-адрес сервера MSAD.
Так же проверьте SRV-записи:
sudo dig SRV _ldap._tcp.redosipa.test sudo dig SRV _ldap._tcp.win.redos
Убедитесь, что установлена актуальная версия samba:
sudo dnf update samba
Для корректной работы IPA-сервера и MSAD требуется версия samba с поддержкой MIT Kerberos (в версии пакета samba должен быть указан суффикс m, например, samba-4.19.9-3m). Для ее установки выполните команду:
sudo dnf dg samba
После этого перезапустите сервис ipa:
Проверьте samba на наличие MIT Kerberos:
smbd -b | grep HAVE_KADM5SRV_MIT
В выводе должно отображаться следующее:
HAVE_KADM5SRV_MIT
Для исключения пакетов samba из обновлений в файл /etc/dnf/dnf.conf добавьте строку:
exclude=libsmbclient libwbclient python3-samba python3-samba-dc samba*
Доменом IPA-сервера должен управлять DNS IPA.
Создайте сервер условной пересылки:
Также это можно сделать с помощью команды:
dnscmd 127.0.0.1 /ZoneAdd redosipa.test /Forwarder 192.168.114.63
Кроме этого необходимо добавить глобальный cервер пересылки в свойствах DNS-сервера Windows. Для этого в диспетчере DNS нажмите ПКМ на сервере DNS (DC) и в выпадающем меню выберите «Свойства», перейдите на вкладку «Сервер пересылки», нажмите на кнопку «Изменить» и в открывшемся окне введите IP-адрес сервера IPA.
dnscmd 127.0.0.1 /ResetForwarders 192.168.114.63 /Slave
Проверьте конфигурацию DNS на сервере Windows.
Чтобы убедиться, что сервер AD может корректно видеть IPA, проверьте, правильно ли разрешены записи SRV:
C:\> nslookup > set type=srv > _ldap._tcp.win.redos > _ldap._tcp.redos.ipa > quit
Установите пакет ipa-server-trust-ad, необходимый для создания доверительных отношений между доменами:
sudo dnf install ipa-server-trust-ad
Выполните настройку сервера IPA для создания доверительных отношений с доменом MSAD:
sudo ipa-adtrust-install
Введите пароль администратора IPA. Далее на все вопросы необходимо ответить yes.
yes
При доступе пользователей MSAD к IPA-клиентам обязательно запустите команду ipa-adtrust-install на каждом IPA-сервере, к которому будут подключаться клиенты IPA.
Добавьте доверительные отношения между доменами:
sudo ipa trust-add --type=ad win.redos --range-type ipa-ad-trust --admin admin --password --two-way=true
На этом этапе будет установлено двустороннее доверие между FreeIPA и Active Directory. Для создания таких отношений используется опция --two-way=true.
--two-way=true
При появлении запроса введите пароль администратора:
Пароль администратора домена Active Directory: <введите_пароль_администратора_домена_MSAD> ---------------------------------------------------------------------------- Добавлено отношение доверия Active Directory для области (realm) "win.redos" ---------------------------------------------------------------------------- Имя области (realm): win.redos Имя домена NetBIOS: WIN Идентификатор безопасности домена: S-1-5-21-3229242909-1173595918-2083834618 Направление отношения доверия: Двустороннее отношение доверия Тип отношения доверия: Домен Active Directory Состояние отношения доверия: Установлено и проверено
Учетная запись пользователя, используемая при создании доверия (аргумент опции --admin в команде ipa trust-add), должна быть членом группы Domain Admins. Имя учетной записи должно быть на английском языке.
--admin
После установки доверительных отношений обновите список доверенных доменов леса со стороны AD:
sudo ipa trust-fetch-domains "win.redos"
Для просмотра списка доверенных доменов из доверенного леса выполните команду:
sudo ipa trustdomain-find "win.redos"
После создания доверительных отношений можно настроить права доступа для внешней группы пользователей домена MSAD к домену IPA.
Создайте внешнюю группу пользователей:
ipa group-add --desc='Администраторы домена (внешняя группа)' ad_admins_external --external ------------------------------------- Добавлена группа "ad_admins_external" ------------------------------------- Имя группы: ad_admins_external Описание: Администраторы домена (внешняя группа)
Создайте обычную группу пользователей:
ipa group-add --desc='Администраторы домена IPA' ad_admins ---------------------------- Добавлена группа "ad_admins" ---------------------------- Имя группы: ad_admins Описание: Администраторы домена IPA ID группы: 1634000004
Добавьте внешнюю группу домена MSAD во внешнюю группу домена IPA:
ipa group-add-member ad_admins_external --external 'WIN.REDOS\Администраторы домена' [member user]: <нажмите_Enter> [member group]: <нажмите_Enter> [member service]: <нажмите_Enter> [member User ID override]: <нажмите_Enter> Имя группы: ad_admins_external Описание: Администраторы домена (внешняя группа) Внешний участник: S-1-5-21-3229642109-1173295718-2033854668-512 ----------------------------------- Количество добавленных участников 1 -----------------------------------
Добавьте внешнюю группу домена IPA в обычную группу:
ipa group-add-member ad_admins --groups ad_admins_external Имя группы: ad_admins Описание: Администраторы домена IPA ID группы: 1634000004 Группы-участники: ad_admins_external ----------------------------------- Количество добавленных участников 1 -----------------------------------
Такая настройка позволяет управлять доступом пользователей из домена MSAD через IPA.
Дата последнего изменения: 25.11.2025
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Нажимая «Отправить запрос», вы соглашаетесь с условиями обработки персональных данных.
Вы будете получать только актуальную информацию по обновлению безопасности
Подписываясь на уведомления, вы соглашаетесь с условиями обработки персональных данных.
На ваш почтовый адрес отправлено письмо с подтверждением подписки.
