Доверительные отношения между доменами IPA

Для настройки доверительных отношений между доменами IPA предполагается выполнение следующих условий:

• должно быть настроено взаимное разрешение символьных имен (DNS) между доменами;
• имена NETBIOS доменов должны различаться;
• короткие имена контроллеров домена должны различаться.

Настройка взаимного разрешения имен

В этом пункте приведены примеры команд для домена ipa1.rosa с контроллером домена dc1.ipa1.rosa (10.125.16.10) и домена ipa2.rosa с контроллером домена dc2.ipa2.rosa (10.125.17.10).

Для настройки взаимного разрешения имен между доменами FreeIPA необходимо на контроллерах домена выполнить следующие действия:

1. на контроллерах домена каждого из доменов получить билет Kerberos пользователем, имеющим права на добавление DNS:

kinit admin

2. добавить зону условного перенаправления для домена, с которым устанавливается доверие командой:

• на dc1.ipa1.rosa:

ipa dnsforwardzone-add --forwarder 10.125.17.10 ipa2.rosa

• на dc2.ipa2.rosa:

ipa dnsforwardzone-add --forwarder 10.125.16.10 ipa1.rosa

Настройка доверительных отношений между доменами IPA

Для настройки доверительных отношений между доменами IPA необходимо на одном из контроллеров домена:

1. получить билет Kerberos пользователем, имеющим права на добавление DNS:

kinit admin

2. выполнить создание доверия между доменами (пример для dc1.ipa1.rosa):

ipa trust-add --type=ipa --range-type=ipa-ad-trust-posix --two-way=true --admin=admin --password ipa2.rosa

3. на запрос пароля ввести пароль пользователя admin для домена ipa2.rosa.