: | : |
‹ | › | |||||
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
2017-12-01 14:44:49 3972 0
Добавление Windows 7 в домен Freeipa
Существует возможность добавления Windows машин в домен Freeipa и последующая авторизация а них с помощью доменных аккаунтов с импользованием протокола Kerberos. Freeipa это проект с открытым исходныи кодом, спонсируемый RedHat, который старается предоставить аналогичную с доменом Active Directory функциональность, только для Linux и Unix систем.
Настройку сервера Freeipa мы рассматривали в статьях ранее.
Для настройки будет испоьзоваться настроенный ранее сервер Freeipa на операционный системе CentOs7 с именем freeipa.test.un и машина Windows 7 с именем test-windows.
Настройка сервера Freeipa
С помощью веб-интерфейса Freeipa созданим новый узел в домене
Identity->Узлы(Hosts)->+Добавить(+Add):

Автоматически будет добавлена A-запись в интегрированный DNS сервер домена Freeipa
Теперь необходимо сгенерировать keytab файл для Windows машины
Получаем билет Kerberos для админа:
kinit admin
Вводим пароль пользователя admin:
Password for admin@TEST.UN:
Проверяем полученный билет:
klist
Ticket cache: KEYRING:persistent:0:0 Default principal: admin@TEST.UN Valid starting Expires Service principal 29.11.2017 10:20:35 30.11.2017 10:20:32 krbtgt/TEST.UN@TEST.UN
Генерируем файл keytab:
ipa-getkeytab -s freeipa.test.un -p host/test-windows.test.un \
-e arcfour-hmac -k krb5.keytab.test-windows.test.un -P
Создаем пароль для доступа к файлу keytab
New Principal Password: Verify Principal Password: Keytab successfully retrieved and stored in: krb5.keytab.test-windows.test.un
Настройка Windows
На Windows машине в качестве DNS сервера должен быть указан DNS сервер домена Freeipa
Открываем командную строку и вводим следующие команды (Имя области должно быть в верхнем регистре):
ksetup /setdomain TEST.UN ksetup /addkdc TEST.UN freeipa.test.un ksetup /addkpasswd TEST.UN freeipa.test.un ksetup /setcomputerpassword *password* - пароль который указан при создании keytab ksetup /mapuser * *
Теперь добавляем локальных пользователей на Windows машине у которых логин совпадает с логинами в домене Freeipa. Под этимм пользователями можно будет логиниться на машину и получать доступ к сервисам домена, аутентификацию они будут проходить в домене.

После этого перезагружаем машину и пытаемся залогиниться под учеткой из домена Freeipa.
Для входа указываем логи пользователя и домен в верхнем регистре "admin@TEST.UN"

Введите ответ:
+
=