: | : |
‹ | › | |||||
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
2017-12-01 14:44:49 8528 2
Добавление Windows 7 в домен Freeipa
Существует возможность добавления Windows машин в домен Freeipa и последующая авторизация а них с помощью доменных аккаунтов с импользованием протокола Kerberos. Freeipa это проект с открытым исходныи кодом, спонсируемый RedHat, который старается предоставить аналогичную с доменом Active Directory функциональность, только для Linux и Unix систем.
Настройку сервера Freeipa мы рассматривали в статьях ранее.
Для настройки будет испоьзоваться настроенный ранее сервер Freeipa на операционный системе CentOs7 с именем freeipa.test.un и машина Windows 7 с именем test-windows.
Настройка сервера Freeipa
С помощью веб-интерфейса Freeipa созданим новый узел в домене
Identity->Узлы(Hosts)->+Добавить(+Add):

Автоматически будет добавлена A-запись в интегрированный DNS сервер домена Freeipa
Теперь необходимо сгенерировать keytab файл для Windows машины
Получаем билет Kerberos для админа:
kinit admin
Вводим пароль пользователя admin:
Password for admin@TEST.UN:
Проверяем полученный билет:
klist
Ticket cache: KEYRING:persistent:0:0 Default principal: admin@TEST.UN Valid starting Expires Service principal 29.11.2017 10:20:35 30.11.2017 10:20:32 krbtgt/TEST.UN@TEST.UN
Генерируем файл keytab:
ipa-getkeytab -s freeipa.test.un -p host/test-windows.test.un \
-e arcfour-hmac -k krb5.keytab.test-windows.test.un -P
Создаем пароль для доступа к файлу keytab
New Principal Password: Verify Principal Password: Keytab successfully retrieved and stored in: krb5.keytab.test-windows.test.un
Настройка Windows
На Windows машине в качестве DNS сервера должен быть указан DNS сервер домена Freeipa
Открываем командную строку и вводим следующие команды (Имя области должно быть в верхнем регистре):
ksetup /setdomain TEST.UN ksetup /addkdc TEST.UN freeipa.test.un ksetup /addkpasswd TEST.UN freeipa.test.un ksetup /setcomputerpassword *password* - пароль который указан при создании keytab ksetup /mapuser * *
Теперь добавляем локальных пользователей на Windows машине у которых логин совпадает с логинами в домене Freeipa. Под этимм пользователями можно будет логиниться на машину и получать доступ к сервисам домена, аутентификацию они будут проходить в домене.

После этого перезагружаем машину и пытаемся залогиниться под учеткой из домена Freeipa.
Для входа указываем логи пользователя и домен в верхнем регистре "admin@TEST.UN"

Введите ответ:
+
=
Саша
2022-05-19 16:39:49
Присоединяюсь к Олегу. Пока у меня муки выбора - ставить Альт Платформу 10 или РЕД ОС с FreeIPA и вводить машины в домен. Тоже есть немного "звездочек" (astra linux). На одной астре хочу ФС сделать с аутентификацией пользователей через FreeIPA и чтобы скажем виндовые машины могли видеть и понимать разграничения прав на каталоги в зависимости от прав пользователей. Или это так не работает? Спасибо за ответ.
Олег
2022-04-05 10:11:10
Здравствуйте! Подскажите пожалуйста, после вышеуказанных настроек, при входе на виндовую машину, пишет ошибкп довереннвх отношений, как это исправить если контроллер домена один и на астра линукс.