ipa+ad доверительные отношения

Егор

New member
Сообщения
4
#1
Здравствуйте!

Пробую настроить доверительные отношения между AD и FreeIPA по этой инструкции:
https://www.freeipa.org/page/Active_Directory_trust_setup#Establish_and_verify_cross-forest_trust

И не получается. Создал зоны условной пересылки на КД и на астре, далее ввожу:
ipa trust-add --type=ad test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
ipa: ERROR: Ошибка обмена данными с сервером CIFS: код '3221225506', сообщение '{Access Denied} A process has requested access to an object but has not been granted those access rights.' (оба значения могут быть «None»)

Брандмауэр на windows отключён, указываемая учётная запись точно включена в доменные группы "Администраторы", "Администраторы домена", "Администраторы предприятия" и "Администраторы схемы".
 

Егор

New member
Сообщения
4
#2
В какой-то момент оно просто заработало:

ipa trust-add --type=ad
Название области: test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
----------------------------------------------------------------
Добавлена запись доверия Active Directory для области 'test.loc'
----------------------------------------------------------------
Название области: test.loc
Название домена NetBIOS: TEST
Идентификатор безопасности домена: S-1-5-21-1745265741-1519674587-4029857796
Направление доверия: «Лес» доверия
Тип доверия: Домен Active Directory
Состояние доверия: Установлено и проверено

Причём доходит до смешного: работает, откатываешься на снапшот когда ещё не работало, повторяешь те же шаги - не работает. На следующий день вводишь предыдущую команду - работает.
Буду дальше разбирать.
 

fixyatina

New member
Сообщения
19
#3
Заработало когда керберос тикет выдался, если вы зашли под доменной учетной записью.
То есть надо
kinit admin
ipa trust-add --type=ad win.rbt --admin Administrator --password
 

Егор

New member
Сообщения
4
#4
А есть ли вообще возможность логиниться в астру (введённую в IPA-домен у которого настроено доверие к AD) под учётными данными пользователя из AD? Что-то у меня не получается, пробовал по-виндовому: "ad_username@ad_domain" и "ad_domain\ad_username" - не получается.
 
Последнее редактирование:

guest80

New member
Сообщения
20
#7
ничего не заменял, вполне нормально работаю под учёткой из AD что в траесте с FreeIPA...
 

Sobergun

New member
Сообщения
35
#8
если все правильно сделали при установке, то так и будет.
 

tehn

New member
Сообщения
2
#9
доброго здоровья!
Не стал новую тему создавать - спрошу в этой)

Настроил Freeipa доверие с AD по инструкции.
есть необходимость войти на комп с Freeipa пользователем AD.
getent passwd user@win.dc -получаю данные пользователя.
но подключиться не получается.
вот лог при попытке подключения (journalctl -f):

pam_unix(fly-dm:auth): check pass; user unknown
pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
sssd[554]: Keytab successfully retrieved and stored in: /var/lib/sss/keytabs/win.ru.keytabvXN3ad
fly-dm[925]: :0[925]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=freeipa.local
audit[925]: USER_AUTH pid=925 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg='op=PAM:authentication grantors=? acct="freeipa.loc" exe="/usr/bin/fly-dm" hostname=host.freeipa.local addr=? terminal=/dev/tty7 res=failed'
fly-dm[925]: :0[925]: pam_sss(sshd:auth): received for user test@win.ru: 6 (Permission denied)

кто-нибудь вообще смог настроить, чтобы пользователи AD подключались к Freeipa?
 
Последнее редактирование: