5.6 Создание доверительных отношений IPA и MS AD

1 Настройки на IPA

1.1 Отключение проверки DNSSEC
Для этого нужно отредактировать 2 параметра в файле /etc/named.conf. Выставьте их в

dnssec-enable no;
dnssec-validation no;

Перезагрузить сервер или службу IPA командой

# systemctl restart ipa
SELINUX переведите в режим permissive.

1.2 Отредактируйте /etc/hosts

Впишите туда адрес сервера MS AD и его хостнейм.

10.81.81.174 dc.ipa.ipamurom dc

1.3 Настройка времени
На всех серверах и рабочих станциях время должно быть синхронизировано.

nano /etc/chrony.conf

Удалите все остальные строки, начинающиеся на server

Вставьте следующую строки в файл

server ntp1.stratum2.ru iburst
server ntp2.stratum2.ru iburst
server ntp3.stratum2.ru iburst

Укажите подсеть

allow 10.81.81.0/24

Перезапустите сервис chronyd

systemctl restart chronyd

Проверка:

chronyc sources

1.4 Настройка зоны перенаправления на IPA сервере
На сервере IPA добавьте условный сервер пересылки (зону пересылки dns) для домена Windows AD

#kinit admin
#ipa dnsforwardzone-add dom.redos --forwarder=10.81.81.175 --forward-policy=only

здесь 10.81.81.175 — windows server.
dom.redos — имя домена windows
C помощью web GUI
В параметрах DNS-сервера IPA укажите ip-адрес перенаправителя, им должен быть сервер Window.

У вас должно получится примерно следующее

 

Проверьте, резолвится ли сервер MS AD. Воспользуйтесь командой:

# nslookup dc.win.redos
Server:      10.81.81.175
Address:     10.81.81.175#53
Non-authoritative answer:
Name:  dc.ipa.ipamurom
Address: 10.81.81.174

Вам должен вернуться адрес вашей MS AD.

Так же проверьте SRV записи.

# dig SRV _ldap._tcp.ipa_domain

# dig SRV _ldap._tcp.ad_domain


1.5 Переустановка samba-dc
Для корректной работы Ipa сервера и ms ad требуется версия samba-dc 4.9.1-3

Скачать данную версию можно по ссылке из облака: https://share.red-soft.ru/index.php/s/tgLJdCYrzcScdXJ

2 Настройка DNS на сервере Windows

Вам нужно сделать так, что бы доменом IPA сервера управлял DNS IPA.

В случае разных доменов создайте сервер условной пересылки.

  1. Откройте Диспетчер DNS и перейдите на вкладку «Серверы условной пересылки».
  2. В контекстном меню выберите «Создать сервер условной пересылки».
  3. Впишите DNS домен сервера IPA и его ip адрес.
  4. Выберите «Все DNS серверы в этом лесу » и нажмите ОК.
  5. Ниже приведен примерный результат:


Также это можно сделать с помощью команды:

dnscmd 127.0.0.1 /ZoneAdd ipa.ipamurom /Forwarder 10.81.81.191

Кроме этого необходимо добавить глобальный "Сервер пересылки" в свойствах dns сервера windows. Для этого в диспетчере DNS нажмите правой клавиши мыши на сервере DNS (SERV) и в выпадающем меню выберите "Свойства", перейдите на вкладку "Сервер пересылки", нажмите на кнопку "Изменить" и в открывшемся окне введите ip-адрес сервера IPA.


Также это можно сделать с помощью команды:

dnscmd 127.0.0.1 /ResetForwarders 10.81.81.191 /Slave

Проверьте конфигурацию DNS на сервере Windows.

Чтобы убедиться, что сервер AD может корректно видеть IPA, проверьте, правильно ли разрешены записи SRV.

C:\> nslookup
> set type=srv
> _ldap._tcp.ad_domain
> _ldap._tcp.ipa_domain
> quit

3 Добавьте доверительные отношения между доменами

3.1 Сконфигурируйте сервер IPA для доверительных отношений с AD.

# ipa-adtrust-install

Отвечайте на все вопросы скрипта положительно (yes)

При доступе пользователей AD к IPA-клиентам обязательно запустите ipa-adtrust-install на каждом IPA-сервере, к которому будут подключаться клиенты IPA.

3.2 Добавьте доверительные отношения.

#ipa trust-add --type=ad dom.redos --range-type ipa-ad-trust --admin Администратор --password --two-way TRUE

При появлении запроса введите пароль администратора. Если все будет настроено правильно, будет установлено доверие к домену AD.

Важно
Учетная запись пользователя, используемая при создании доверия (аргумент опции —admin в командеipa trust-add), должна быть членом группы Domain Admins. Имя учетной записи должно быть на английском языке.

На этом этапе IPA создаст одностороннее доверие к лесу на стороне IPA, создаст одностороннее доверие к лесу на стороне AD и инициирует проверку доверия с AD-стороны. Для двустороннего доверия нужно добавить опцию --two-way=true.

3.3 После того, как установлена ​​доверительное отношение на стороне AD, необходимо получить список доверенных доменов леса со стороны AD. Это делается с помощью следующей команды:

# ipa trust-fetch-domains "ad_domain"

При успехе IPA получит информацию о доверенных доменах и создаст для них все необходимые идентификаторы.

Используйте «trustdomain-find», чтобы просмотреть список доверенных доменов из доверенного леса:

# ipa trustdomain-find "ad_domain"

3.4 Создать внешнюю группу, сопоставленную с группой posix freeipa: это позволит предоставить право внешней группе. Затем active directory группа администраторов домена сопоставляется с группой ad_admins, которая принадлежит пользователю admins. В этом случае каждый администратор домена windows имеет некоторый грант администратора freeipa:

ipa group-add --desc='ad domain external map' ad_admins_external --external
ipa group-add --desc='ad domain users' ad_admins
ipa group-add-member ad_admins_external --external 'WIN.REDOS\Администраторы домена'
ipa group-add-member ad_admins --groups ad_admins_external

 

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.