сложность-hard
с двух прошлых гайдов настроим серверы:
1. Настройка AD
1.1. нужно создать сервер условной пересылки: Средства-DNS-Серверы условной пересылки-создать
IP, домен - сервера ALD
после перезахода должна появиться галочка и имя сервера(DC)
1.2. также нужно создать пользователя домена:
Средства-Active Directory - домены и доверие-(правой кнопкой)Управление-Users-Создать-Пользователь-придумать имя и т.д.- поставить галочки запретить смену пароля и срок действия пароля не ограничен(по рофлу)
после создания в свойствах внести в группу админы домена и сделать её основной(снизу кнопка)
2. Настройка ALD
2.1. выключить адаптер глобальной сети
2.2. в файл /etc/hosts добавить записи об адресе, имени и домене контроллера AD в следующем формате:
nano /etc/hosts
2.3. в веб-консоли ald pro добавить сервер пересылки DNS:
Роли и службы сайта – Службы разрешения имен – Перенаправление запросов – Новая зона
имя зоны: [ваш.домен Active Directory]
глобальные перенаправители: [IP-адрес контроллера AD]
тип зоны: прямой
политика перенаправления: «только перенаправлять»
кнопка «сохранить» в правом верхнем углу
перезапустить сервис FreeIPA:
ipactl restart
2.4. в файле /etc/sysctl.d/999-astra.conf изменить значение строки «net.ipv6.conf.all.disable_ipv6» с «=0» на « = 1»
nano /etc/sysctl.d/999-astra.conf
2.5. в файле /etc/sssd/sssd.conf в секции с заголовком [domain/ваш.домен] добавить следующее:
nano /etc/sssd/sssd.conf
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout ignore_group_members = True ldap_purge_cache_timeout = 0
перезапустить сервис sssd:
systemctl restart sssd
2.6. в файле /etc/bind/ipa-options-ext.conf в конце подредактировать и дописать следующее:
nano /etc/bind/ipa-options-ext.conf
dnssec-validation no;
allow-query-cache { any; };
перезапустить сервис FreeIPA:
ipactl restart
2.6. заходим в web консоль freeipa:
https://ip машины(локальный или имя сервер)/ipa/ui
IPA-сервер – Отношения доверия – Отношения доверия - Добавить
домен: [имя домена Active Directory]
галочка «двустороннее отношение»
установить с помощью: [ввести данные «администратора домена винды»-пункт 1.2.]
тип диапазона: Домен AD
Добавить
если так, то кайф:
если нет - смотрим ошибку
1. домен не найден - косяк в настройках сетевых адаптерах или в днс именах. Надо проверить что напишет cat /etc/resolv.conf на клиенте
cat /etc/resolv.conf
должно быть так
2. ошибка аутентификации - это просто пароль или логин или пользователя не так сделали
3. Принятие соединения со стороны Active Directory
2.7. Диспетчер серверов – оснастка «AD Домены и доверие» - «Свойства» вашего домена – Отношения доверия
здесь отношения доверия должны уже быть, НО чисто теоретически, если у вас не пошло в 2.6., возможно, если вы настроите вручную оно сможет заработать.
Создать отношение доверия
имя: [ваш.домен АЛД]
тип доверия: доверие леса(если этого нет, то гг)
направление: двунаправленное
для кого создать: только для этого домена
проверка: проверка леса
пароль доверия: [любой, но его желательно запомнить]
подтвердить исходящее доверие
подтвердить входящее доверие (учетные данные admin/[ваш пароль администратора АЛД]
2.8. ПроверОчка применения настроек пересылки DNS:
Свойства – Отношения доверия – Свойства – Маршрутизация суффиксов имен: здесь должен автоматически настроиться редирект суффикса «*.ваш.домен АЛД»
2.9. Выполнение перекрестного входа в домен
перезагрузить AD, АЛД, клиента АЛД
во первых выбрать домен AD на клиенте АЛД совершить вход в домен Active Directory с учетными данными того самого пользователя(1.2.)
всё, но если не пошло надо чекнуть конфиги
- конфиги клиента ald:
nano /etc/hosts
cat /etc/resolv.conf
- конфиг сервера ald:
cat /etc/resolv.conf
nano /etc/network/interfaces
nano /etc/hosts
- винда: