Astra linux directory доверительные отношения

ipa+ad доверительные отношения

И не получается. Создал зоны условной пересылки на КД и на астре, далее ввожу:
ipa trust-add —type=ad test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
ipa: ERROR: Ошибка обмена данными с сервером CIFS: код ‘3221225506’, сообщение ‘ A process has requested access to an object but has not been granted those access rights.’ (оба значения могут быть «None»)

Брандмауэр на windows отключён, указываемая учётная запись точно включена в доменные группы «Администраторы», «Администраторы домена», «Администраторы предприятия» и «Администраторы схемы».

Егор

New member

В какой-то момент оно просто заработало:

ipa trust-add —type=ad
Название области: test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
—————————————————————-
Добавлена запись доверия Active Directory для области ‘test.loc’
—————————————————————-
Название области: test.loc
Название домена NetBIOS: TEST
Идентификатор безопасности домена: S-1-5-21-1745265741-1519674587-4029857796
Направление доверия: «Лес» доверия
Тип доверия: Домен Active Directory
Состояние доверия: Установлено и проверено

Причём доходит до смешного: работает, откатываешься на снапшот когда ещё не работало, повторяешь те же шаги — не работает. На следующий день вводишь предыдущую команду — работает.
Буду дальше разбирать.

fixyatina

New member

Заработало когда керберос тикет выдался, если вы зашли под доменной учетной записью.
То есть надо
kinit admin
ipa trust-add —type=ad win.rbt —admin Administrator —password

Егор

New member

А есть ли вообще возможность логиниться в астру (введённую в IPA-домен у которого настроено доверие к AD) под учётными данными пользователя из AD? Что-то у меня не получается, пробовал по-виндовому: «ad_username@ad_domain» и «ad_domain\ad_username» — не получается.

Читайте также:  Crm система для linux

vasja

Guest

Sobergun

New member

guest80

New member

Sobergun

New member

tehn

New member

доброго здоровья!
Не стал новую тему создавать — спрошу в этой)

Настроил Freeipa доверие с AD по инструкции.
есть необходимость войти на комп с Freeipa пользователем AD.
getent passwd user@win.dc -получаю данные пользователя.
но подключиться не получается.
вот лог при попытке подключения (journalctl -f):

pam_unix(fly-dm:auth): check pass; user unknown
pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
sssd[554]: Keytab successfully retrieved and stored in: /var/lib/sss/keytabs/win.ru.keytabvXN3ad
fly-dm[925]: :0[925]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=freeipa.local
audit[925]: USER_AUTH pid=925 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=’op=PAM:authentication grantors=? acct=»freeipa.loc» exe=»/usr/bin/fly-dm» hostname=host.freeipa.local addr=? terminal=/dev/tty7 res=failed’
fly-dm[925]: :0[925]: pam_sss(sshd:auth): received for user test@win.ru: 6 (Permission denied)

Источник

Не удается настроить доверительные отношения с MS AD

Не удается настроить доверительные отношения с MS AD.

Диагностика

  • Проверить наличие на Портале управления сообщения об ошибке вида:
  • Проверить значение опции dnssec-validation в файле /etc/bind/ipa-options-ext.conf .

Возможная причина: Включена валидация записей DNS . Перейти к решению.

  • При попытке установки доверительных отношений с доменом MS AD проверить на предмет наличия ошибки вида:
ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.

Возможная причина: Наличие диапазона идентификаторов для домена с тем же именем . Перейти к решению.

C:\> nslookup > set type=srv > _ldap._tcp.aldpro.test > quit

Пример вывода команды в случае корректного разрешения:

dig SRV _ldap._tcp.windomain.dom
; > DiG 9.11.5-P4-5.1+deb10u7+ci202204290756+astra1-Debian > SRV _ldap._tcp.windomain.dom ;; global options: +cmd ;; Got answer: ;; ->>HEADER

Возможная причина: Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD . Перейти к решению.

Возможная причина: Совпадают NetBIOS-имена доменов ALD Pro и MS AD . Перейти к решению.

Источник

Оцените статью
Adblock
detector