ipa+ad доверительные отношения

Егор

New member
Сообщения
4
#1
Здравствуйте!

Пробую настроить доверительные отношения между AD и FreeIPA по этой инструкции:
https://www.freeipa.org/page/Active_Directory_trust_setup#Establish_and_verify_cross-forest_trust

И не получается. Создал зоны условной пересылки на КД и на астре, далее ввожу:
ipa trust-add --type=ad test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
ipa: ERROR: Ошибка обмена данными с сервером CIFS: код '3221225506', сообщение '{Access Denied} A process has requested access to an object but has not been granted those access rights.' (оба значения могут быть «None»)

Брандмауэр на windows отключён, указываемая учётная запись точно включена в доменные группы "Администраторы", "Администраторы домена", "Администраторы предприятия" и "Администраторы схемы".
 

Егор

New member
Сообщения
4
#2
В какой-то момент оно просто заработало:

ipa trust-add --type=ad
Название области: test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
----------------------------------------------------------------
Добавлена запись доверия Active Directory для области 'test.loc'
----------------------------------------------------------------
Название области: test.loc
Название домена NetBIOS: TEST
Идентификатор безопасности домена: S-1-5-21-1745265741-1519674587-4029857796
Направление доверия: «Лес» доверия
Тип доверия: Домен Active Directory
Состояние доверия: Установлено и проверено

Причём доходит до смешного: работает, откатываешься на снапшот когда ещё не работало, повторяешь те же шаги - не работает. На следующий день вводишь предыдущую команду - работает.
Буду дальше разбирать.
 

fixyatina

New member
Сообщения
19
#3
Заработало когда керберос тикет выдался, если вы зашли под доменной учетной записью.
То есть надо
kinit admin
ipa trust-add --type=ad win.rbt --admin Administrator --password
 

Егор

New member
Сообщения
4
#4
А есть ли вообще возможность логиниться в астру (введённую в IPA-домен у которого настроено доверие к AD) под учётными данными пользователя из AD? Что-то у меня не получается, пробовал по-виндовому: "ad_username@ad_domain" и "ad_domain\ad_username" - не получается.
 
Последнее редактирование: