5.6 Создание доверительных отношений IPA и MS AD

1 Настройки на IPA

Необходимо отключить проверку DNSSEC если это нужно в вашей сети. Для этого нужно отредактировать 2 параметра в файле /etc/named.conf. Выставьте их в

dnssec-enable no;
dnssec-validation no;

Перезагрузить сервер или службу IPA командой

# systemctl restart ipa
SELINUX должен быть отключен.

Отредактируйте /etc/hosts

Впишите туда адрес сервера MS AD и его хостнейм.

192.168.0.1 dc.ad.test dc

Зайдите в web панель управления IPA.
Перейдите на вкладку Network Services > DNS Servers. Выберите ваш главный сервер DNS и добавьте в нем форвардер, которым будет сервер MS AD. Главный DNS сервер настраивается при установке IPA и обычно располагается на самом IPA сервере и, соответственно имеет тот же хостнейм.

В данном случае, здесь больше нет форвардеров, только MS AD. У вас они могут быть. Замените, политику форвардинга – Forward only.

Перейдите на вкладку DNS Forward Zones и добавьте зону с именем домена вашего MS AD указав его ip адрес. Замените, политику форвардинга – Forward only.

У вас должно получится примерно следующее

Проверьте, резолвится ли сервер MS AD. Воспользуйтесь командой:

# nslookup dc.ad.test
Server:      192.168.0.1
Address:     192.168.0.1#53
Non-authoritative answer:
Name:  dc.ad.test
Address: 192.168.0.1

Вам должен вернуться адрес вашей MS AD.

Так же проверьте SRV записи.

# dig SRV _ldap._tcp.ipa_domain
# dig SRV _ldap._tcp.ad_domain

2 Настройка MS AD

Вам нужно сделать так, что бы доменом IPA сервера управлял DNS IPA.

В случае разных доменов создайте сервер условной пересылки.

  1. Откройте Диспетчер DNS и перейдите на вкладку «Серверы условной пересылки».
  2. В контекстном меню выберите «Создать сервер условной пересылки».
  3. Впишите DNS домен сервера IPA и его ip адрес.
  4. Выберите «Все DNS серверы в этом лесу » и нажмите ОК.
  5. Ниже приведен примерный результат:


Также необходимо добавить “Сервер пересылки” в свойствах dns сервера windows. Для этого в диспетчере DNS нажмите правой клавиши мыши на сервере DNS (SERV) и в выпадающем меню выберите “Свойства”, перейдите на вкладку “Сервер пересылки”, нажмите на кнопку “Изменить” и в открывшемся окне введите ip-адрес сервера IPA.

Проверьте конфигурацию DNS на сервере Windows.

Чтобы убедиться, что сервер AD может корректно видеть IPA, проверьте, правильно ли разрешены записи SRV.

C:\> nslookup
> set type=srv
> _ldap._tcp.ad_domain
> _ldap._tcp.ipa_domain
> quit

3 Добавьте доверительные отношения между доменами

Для этого сконфигурируйте сервер IPA для доверительных отношений с AD.

# ipa-adtrust-install

Отвечайте на все вопросы скрипта положительно (yes)

При доступе пользователей AD к IPA-клиентам обязательно запустите ipa-adtrust-install на каждом IPA-сервере, к которому будут подключаться клиенты IPA.

Добавьте доверительные отношения.

# ipa trust-add --type=ad ad_domain --admin Administrator --password

При появлении запроса введите пароль администратора. Если все будет настроено правильно, будет установлено доверие к домену AD.

Важно
Учетная запись пользователя, используемая при создании доверия (аргумент опции –admin в командеipa trust-add), должна быть членом группы Domain Admins. Имя учетной записи должно быть на английском языке.

На этом этапе IPA создаст одностороннее доверие к лесу на стороне IPA, создаст одностороннее доверие к лесу на стороне AD и инициирует проверку доверия с AD-стороны. Для двустороннего доверия нужно добавить опцию --two-way=true.

После того, как установлена ​​доверительное отношение на стороне AD, необходимо получить список доверенных доменов леса со стороны AD. Это делается с помощью следующей команды:

# ipa trust-fetch-domains "ad_domain"

При успехе IPA получит информацию о доверенных доменах и создаст для них все необходимые идентификаторы.

Используйте «trustdomain-find», чтобы просмотреть список доверенных доменов из доверенного леса:

# ipa trustdomain-find "ad_domain"

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.