ipa+ad доверительные отношения
И не получается. Создал зоны условной пересылки на КД и на астре, далее ввожу:
ipa trust-add —type=ad test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
ipa: ERROR: Ошибка обмена данными с сервером CIFS: код ‘3221225506’, сообщение ‘ A process has requested access to an object but has not been granted those access rights.’ (оба значения могут быть «None»)
Брандмауэр на windows отключён, указываемая учётная запись точно включена в доменные группы «Администраторы», «Администраторы домена», «Администраторы предприятия» и «Администраторы схемы».
Егор
New member
В какой-то момент оно просто заработало:
ipa trust-add —type=ad
Название области: test.loc
Администратор домена Active Directory: admin
Пароль администратора домена Active Directory:
—————————————————————-
Добавлена запись доверия Active Directory для области ‘test.loc’
—————————————————————-
Название области: test.loc
Название домена NetBIOS: TEST
Идентификатор безопасности домена: S-1-5-21-1745265741-1519674587-4029857796
Направление доверия: «Лес» доверия
Тип доверия: Домен Active Directory
Состояние доверия: Установлено и проверено
Причём доходит до смешного: работает, откатываешься на снапшот когда ещё не работало, повторяешь те же шаги — не работает. На следующий день вводишь предыдущую команду — работает.
Буду дальше разбирать.
fixyatina
New member
Заработало когда керберос тикет выдался, если вы зашли под доменной учетной записью.
То есть надо
kinit admin
ipa trust-add —type=ad win.rbt —admin Administrator —password
Егор
New member
А есть ли вообще возможность логиниться в астру (введённую в IPA-домен у которого настроено доверие к AD) под учётными данными пользователя из AD? Что-то у меня не получается, пробовал по-виндовому: «ad_username@ad_domain» и «ad_domain\ad_username» — не получается.
vasja
Guest
Sobergun
New member
guest80
New member
Sobergun
New member
tehn
New member
доброго здоровья!
Не стал новую тему создавать — спрошу в этой)
Настроил Freeipa доверие с AD по инструкции.
есть необходимость войти на комп с Freeipa пользователем AD.
getent passwd user@win.dc -получаю данные пользователя.
но подключиться не получается.
вот лог при попытке подключения (journalctl -f):
pam_unix(fly-dm:auth): check pass; user unknown
pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
sssd[554]: Keytab successfully retrieved and stored in: /var/lib/sss/keytabs/win.ru.keytabvXN3ad
fly-dm[925]: :0[925]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=freeipa.local
audit[925]: USER_AUTH pid=925 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=’op=PAM:authentication grantors=? acct=»freeipa.loc» exe=»/usr/bin/fly-dm» hostname=host.freeipa.local addr=? terminal=/dev/tty7 res=failed’
fly-dm[925]: :0[925]: pam_sss(sshd:auth): received for user test@win.ru: 6 (Permission denied)
Не удается настроить доверительные отношения с MS AD
Не удается настроить доверительные отношения с MS AD.
Диагностика
- Проверить наличие на Портале управления сообщения об ошибке вида:
- Проверить значение опции dnssec-validation в файле /etc/bind/ipa-options-ext.conf .
Возможная причина: Включена валидация записей DNS . Перейти к решению.
- При попытке установки доверительных отношений с доменом MS AD проверить на предмет наличия ошибки вида:
ipa: ERROR: недопустимое "диапазон существует": Уже существует диапазон идентификаторов с тем же именем, но другим SID домена. Диапазон идентификаторов для нового доверенного домена необходимо создать вручную.Возможная причина: Наличие диапазона идентификаторов для домена с тем же именем . Перейти к решению.
C:\> nslookup > set type=srv > _ldap._tcp.aldpro.test > quit
Пример вывода команды в случае корректного разрешения:
dig SRV _ldap._tcp.windomain.dom; > DiG 9.11.5-P4-5.1+deb10u7+ci202204290756+astra1-Debian > SRV _ldap._tcp.windomain.dom ;; global options: +cmd ;; Got answer: ;; ->>HEADERВозможная причина: Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD . Перейти к решению.
Возможная причина: Совпадают NetBIOS-имена доменов ALD Pro и MS AD . Перейти к решению.