3.15.6 Создание доверительных отношений IPA и MS AD для РЕД ОС 7.2
1 Настройки на IPA
1.1 Отключение проверки DNSSEC.
Для этого нужно отредактировать 2 параметра в файле
/etc/named.conf
Задайте им следующие значения:
dnssec-enable no; dnssec-validation no;
Перезагрузите сервер или службу IPA командой:
systemctl restart ipa
nano /etc/selinux/config
Заменив текст SELINUX=enforcing
на SELINUX=permissive
Выполните:
setenforce 0
Более подробно см.ссылку
Не забудьте включить selinux после завершения настройки.
1.2 Отредактируйте /etc/hosts.
Впишите туда адрес сервера MS AD и его хостнейм.
10.81.81.174 dc.ipa.ipamurom dc
1.3 Настройка времени
На всех серверах и рабочих станциях время должно быть синхронизировано.
nano /etc/chrony.conf
Удалите все остальные строки, начинающиеся на server.
Вставьте следующие строки в файл:
server ntp1.stratum2.ru iburst server ntp2.stratum2.ru iburst server ntp3.stratum2.ru iburst
Укажите подсеть:
allow 10.81.81.0/24
Перезапустите сервис chronyd:
systemctl restart chronyd
Проверка:
chronyc sources
1.4 Настройка зоны перенаправления на IPA сервере
На сервере IPA добавьте условный сервер пересылки (зону пересылки dns) для домена Windows AD:
#kinit admin
#ipa dnsforwardzone-add dom.redos --forwarder=10.81.81.175 --forward-policy=only
здесь 10.81.81.175 - windows server;
dom.redos - имя домена windows.
C помощью web GUI в параметрах DNS-сервера IPA укажите ip-адрес перенаправителя, им должен быть сервер Window.
У вас должно получится примерно следующее:
Проверьте, резолвится ли сервер MS AD. Воспользуйтесь командой:
# nslookup dc.win.redos Server: 10.81.81.175 Address: 10.81.81.175#53 Non-authoritative answer: Name: dc.ipa.ipamurom Address: 10.81.81.174
Вам должен вернуться адрес вашей MS AD.
Так же проверьте SRV записи.
# dig SRV _ldap._tcp.ipa_domain # dig SRV _ldap._tcp.ad_domain
1.5 Переустановка samba-dc
Для корректной работы Ipa сервера и ms ad требуется версия samba-dc 4.9.1-3.
Скачать данную версию можно по ссылке из облака: https://share.red-soft.ru/index.php/s/tgLJdCYrzcScdXJ.
2 Настройка DNS на сервере Windows
Вам нужно сделать так, что бы доменом IPA сервера управлял DNS IPA.
В случае разных доменов создайте сервер условной пересылки.
- Откройте Диспетчер DNS и перейдите на вкладку «Серверы условной пересылки».
- В контекстном меню выберите «Создать сервер условной пересылки».
- Впишите DNS домен сервера IPA и его ip адрес.
- Выберите «Все DNS серверы в этом лесу» и нажмите ОК.
- Ниже приведен примерный результат:
Также это можно сделать с помощью команды:
dnscmd 127.0.0.1 /ZoneAdd ipa.ipamurom /Forwarder 10.81.81.191
Кроме этого необходимо добавить глобальный "Сервер пересылки" в свойствах dns-сервера windows. Для этого в диспетчере DNS нажмите правой клавиши мыши на сервере DNS (SERV) и в выпадающем меню выберите "Свойства", перейдите на вкладку "Сервер пересылки", нажмите на кнопку "Изменить" и в открывшемся окне введите ip-адрес сервера IPA.
Также это можно сделать с помощью команды:
dnscmd 127.0.0.1 /ResetForwarders 10.81.81.191 /Slave
Проверьте конфигурацию DNS на сервере Windows.
Чтобы убедиться, что сервер AD может корректно видеть IPA, проверьте, правильно ли разрешены записи SRV.
C:\> nslookup > set type=srv > _ldap._tcp.ad_domain > _ldap._tcp.ipa_domain > quit
3 Добавьте доверительные отношения между доменами
3.1 Сконфигурируйте сервер IPA для доверительных отношений с AD.
# ipa-adtrust-install
Отвечайте на все вопросы скрипта положительно (yes).
3.2 Добавьте доверительные отношения.
#ipa trust-add --type=ad dom.redos --range-type ipa-ad-trust --admin admin--password --two-way=TRUE
При появлении запроса введите пароль администратора. Если все будет настроено правильно, будет установлено доверие к домену AD.
Учетная запись пользователя, используемая при создании доверия (аргумент опции --admin команды ipa trust-add), должна быть членом группы Domain Admins. Имя учетной записи должно быть на английском языке.
На этом этапе IPA создаст одностороннее доверие к лесу на стороне IPA, создаст одностороннее доверие к лесу на стороне AD и инициирует проверку доверия с AD-стороны. Для двустороннего доверия нужно добавить опцию --two-way=true
.
3.3 После того, как установлена доверительное отношение на стороне AD, необходимо получить список доверенных доменов леса со стороны AD. Это делается с помощью следующей команды:
# ipa trust-fetch-domains "ad_domain"
При успехе IPA получит информацию о доверенных доменах и создаст для них все необходимые идентификаторы.
Используйте «trustdomain-find
», чтобы просмотреть список доверенных доменов из доверенного леса:
# ipa trustdomain-find "ad_domain"
3.4 Создать внешнюю группу, сопоставленную с группой posix freeipa: это позволит предоставить право внешней группе. Затем active directory группа администраторов домена сопоставляется с группой ad_admins, которая принадлежит пользователю admins. В этом случае каждый администратор домена windows имеет некоторый грант администратора freeipa:
ipa group-add --desc='ad domain external map' ad_admins_external --external ipa group-add --desc='ad domain users' ad_admins ipa group-add-member ad_admins_external --external 'WIN.REDOS\Администраторы домена' ipa group-add-member ad_admins --groups ad_admins_external
Дата последнего изменения: 26.06.2023
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.