: :

ПнВтСрЧтПтСбВс

2017-12-01 14:44:49 7762 2

Добавление Windows 7 в домен Freeipa

Существует возможность добавления Windows машин в домен Freeipa и последующая авторизация а них с помощью доменных аккаунтов с импользованием протокола Kerberos. Freeipa это проект с открытым исходныи кодом, спонсируемый RedHat, который старается предоставить аналогичную с доменом Active Directory функциональность, только для Linux и Unix систем.

Настройку сервера Freeipa мы рассматривали в статьях ранее.

Для настройки будет испоьзоваться настроенный ранее сервер Freeipa на операционный системе CentOs7 с именем freeipa.test.un и машина Windows 7 с именем test-windows.

Настройка сервера Freeipa

С помощью веб-интерфейса Freeipa созданим новый узел в домене

Identity->Узлы(Hosts)->+Добавить(+Add):

Добавление узла в домен Freeipa

Автоматически будет добавлена A-запись в интегрированный DNS сервер домена Freeipa

Теперь необходимо сгенерировать keytab файл для Windows машины

Получаем билет Kerberos для админа:

kinit admin

Вводим пароль пользователя admin:

Password for admin@TEST.UN:

Проверяем полученный билет:

klist

Ticket cache: KEYRING:persistent:0:0
Default principal: admin@TEST.UN

Valid starting       Expires              Service principal
29.11.2017 10:20:35  30.11.2017 10:20:32  krbtgt/TEST.UN@TEST.UN

Генерируем файл keytab:

ipa-getkeytab -s freeipa.test.un -p host/test-windows.test.un \ 

-e arcfour-hmac -k krb5.keytab.test-windows.test.un -P

Создаем пароль для доступа к файлу keytab

New Principal Password: 
Verify Principal Password: 
Keytab successfully retrieved and stored in: krb5.keytab.test-windows.test.un

Настройка Windows

На Windows машине в качестве DNS сервера должен быть указан DNS сервер домена Freeipa

Открываем командную строку и вводим следующие команды (Имя области должно быть в верхнем регистре):

ksetup /setdomain TEST.UN
ksetup /addkdc TEST.UN freeipa.test.un
ksetup /addkpasswd TEST.UN freeipa.test.un
ksetup /setcomputerpassword *password* - пароль который указан при создании keytab
ksetup /mapuser * *

Теперь добавляем локальных пользователей на Windows машине у которых логин совпадает с логинами в домене Freeipa. Под этимм пользователями можно будет логиниться на машину и получать доступ к сервисам домена, аутентификацию они будут проходить в домене.

Добавление локальных пользователей

После этого перезагружаем машину и пытаемся залогиниться под учеткой из домена Freeipa.
Для входа указываем логи пользователя и домен в верхнем регистре "admin@TEST.UN"

Вход в систему






Введите ответ:

+

=



Саша

2022-05-19 16:39:49

Присоединяюсь к Олегу. Пока у меня муки выбора - ставить Альт Платформу 10 или РЕД ОС с FreeIPA и вводить машины в домен. Тоже есть немного "звездочек" (astra linux). На одной астре хочу ФС сделать с аутентификацией пользователей через FreeIPA и чтобы скажем виндовые машины могли видеть и понимать разграничения прав на каталоги в зависимости от прав пользователей. Или это так не работает? Спасибо за ответ.


Олег

2022-04-05 10:11:10

Здравствуйте! Подскажите пожалуйста, после вышеуказанных настроек, при входе на виндовую машину, пишет ошибкп довереннвх отношений, как это исправить если контроллер домена один и на астра линукс.