База знаний
Войти

Доверительные отношения с доменом MS Active Directory

Для создания доверительных отношений контроллеры доменов Dynamic Directory и Active Directory должны взаимно разрешать символьные имена друг друга.

В п. Доверительные отношения с доменом MS Active Directory описаны 3 варианта настроек:

Перед реализацией любого из этих вариантов сначала необходимо настроить сервер Dynamic Directory (см. п. Настройка сервера Dynamic Directory) и настроить или отключить DNSSEC (см. п. Настройка DNSSEC).

Настройка сервера Dynamic Directory

Настройка сервера Dynamic Directory для создания доверия с доменом MS AD проводится выполнением следующих действий на контроллере домена Dynamic Directory:

  1. для установки пакета ipa-server-trust-ad без доступа к сетевому репозиторию необходимо смонтировать CD-ROM с диском "ROSA-Control-Center" в директорию /mnt командой:
mount /dev/cdrom /mnt
  1. выполнить установку пакета ipa-server-trust-ad командой:
dnf -y install ipa-server-trust-ad
  1. настроить поддержку доверия, выполнив команды:
kinit admin
ipa-adtrust-install --netbios-name=LIN -U

где LIN – имя NETBIOS для домена Dynamic Directory (обычно это домен нижнего уровня; символы – в верхнем регистре; например, для домена lin.rosa необходимо задать --netbios-name=LIN);

Следует обратить внимание, что для установки доверия netbios-name доменов MS AD и Dynamic Directory должны различаться.

  1. настроить firewalld, открыв необходимые для создания доверия порты, выполнив команду:
firewall-cmd --add-service=freeipa-trust --permanent && firewall-cmd –-reload

Следует обратить внимание, что в ОС Windows обычно отключено подписание зон DNS (DNSSEC), соответственно необходимо проверить и отключить валидацию DNSSEC (п. Применение групповых политик к пользователям доверенного домена) на контроллере Dynamic Directory.

Валидация DNSSEC может быть выключена, если при установке был указан параметр --no-dnssec-validation или в качестве перенаправителя был указан сервер, не использующий DNSSEC.

Для отключения валидации DNSSEC на серверах Dynamic Directory требуется добавить или изменить в файле /etc/named/ipa-options-ext.conf параметры следующим образом:

dnssec-validation no;

где no – отключение валидации DNSSEC.

Вариант 1 – Независимые DNS домены

Для этого варианта можно выбрать, например, следующие имена доменов:

  • MS Active Directory: win.rosa;
  • Dynamic Directory: lin.rosa.

Если имеются корневые серверы DNS, контролирующие зону .rosa, нужно настроить делегирование зоны для контроллеров MS AD и DD в соответствии с документацией к ПО, управляющему корневой зоной DNS.

Если обратные зоны управляются серверами MS AD и DD, то необходимо настроить делегирование для них.

В случае использования в Системе корневых серверов DNS в качестве глобальных перенаправителей дополнительная настройка перенаправления для существующих доменных зон корневого домена не требуется.

В данном случае с независимыми доменами необходимо настроить перенаправление для каждого из доменов.

Для домена Microsoft Active Directory нужно выполнить следующие действия:

  1. открыть консоль AD DNS;
  2. выбрать контейнер "Серверы условной пересылки", вызвать контекстное меню ПКМ и нажать ЛКМ на "Создать сервер условной пересылки" (рисунок 196);

Рисунок 196 – Выбор создания сервера условной пересылки

  1. ввести имя домена Dynamic Directory "lin.rosa" в поле "DNS-домен";
  2. добавить IP-адрес сервера Dynamic Directory в раздел "IP адреса основных серверов";
  3. нажать кнопку ОК (рисунок 197).

Рисунок 197 – Создание сервера условной пересылки

Для домена Dynamic Directory нужно выполнить следующие действия:

  1. перейти в перспективу "DNS";
  2. в секции "DNS" выбрать папку "Серверы условной пересылки", вызвать контекстное меню ПКМ и нажать ЛКМ на "Новая зона перенаправления DNS" (рисунок 198);

Рисунок 198 – Выбор новой зоны перенаправления DNS

  1. на вкладке "Общие" ввести имя DNS-домена MS Active Directory "win.rosa" и перейти на вкладку "Зоны перенаправления DNS" (рисунок 199);

Рисунок 199 – Создание зоны перенаправления DNS

  1. нажать кнопку Добавить, ввести IP-адрес сервера MS AD и порт в соответствии с форматом "IP_ADRESS port PORT" и для подтверждения нажать кнопку ОК (рисунок 200);

Рисунок 200 – Параметры зоны

  1. нажать кнопку ОК для сохранения и выхода из свойств зоны перенаправления.

Вариант 2 – DNS-домен Dynamic Directory является поддоменом домена MS AD

Для этого варианта можно выбрать, например, следующие имена доменов:

  • MS Active Directory: win.rosa;
  • Dynamic Directory: lin.win.rosa.

Для домена Dynamic Directory в качестве серверов перенаправления следует указать DNS-серверы домена MS AD при установке.

Также нужно изменить перенаправители для конкретного сервера, используя команду:

$ ipa dnsserver-mod SERVER --forwarder=IP_АДРЕС_СЕРВЕРА ПЕРЕНАПРАВЛЕНИЯ

Например, для сервера dc1-main.lin.win.rosa и сервера перенаправления 10.125.17.10 можно использовать команду:

$ ipa dnsserver-mod dc1-main.lin.win.rosa --forwarder=10.125.17.10

Ключ --forwarder корректно применять несколько раз для указания нескольких серверов.

Для домена Microsoft Active Directory нужно создать делегирование для зоны lin.win.rosa серверу Dynamic Directory:

  1. открыть модуль "Диспетчер DNS", выбрать зону, которая является родительской для создаваемой зоны, вызвать контекстное меню ПКМ и нажать ЛКМ на пункт "Создать делегирование" (рисунок 201);

Рисунок 201 – Выбор создания делегирования

  1. в появившемся окне "Мастер делегирования" нажать кнопку Далее, чтобы перейти к настройке делегирования (рисунок 202);

Рисунок 202 – Окно мастера делегирования

  1. ввести короткое имя домена (без родительской части) в поле "Делегируемый домен" и нажать кнопку Далее (рисунок 203);

Рисунок 203 – Имя делегируемого домена

  1. ввести в поле "Полное доменное имя сервера (FQDN)" адрес домена сервера СК Dynamic Directory с включенной службой DNS, в поле "IP-адреса записи сервера имен:" – IP-адрес этого сервера и нажать ОК для добавления сервера (рисунок 204);

Рисунок 204 – Добавление сервера имен

  1. при необходимости добавить дополнительные серверы и нажать кнопку Далее (рисунок 205);

Рисунок 205 – Добавление дополнительных серверов имен

  1. нажать кнопку Готово для завершения создания делегирования (рисунок 206).

Рисунок 206 – Завершение мастера делегирования

Вариант 3 – DNS-домен MS AD является поддоменом домена Dynamic Directory

Для этого варианта можно выбрать, например, следующие имена доменов:

  • MS Active Directory: win.rosa;
  • Dynamic Directory: win.lin.rosa.

Для сервера Dynamic Directory необходимо отключить DNSSEC.

В графическом интерфейсе Dynamic Directory нужно добавить A-записи и NS-записи для серверов MS AD следующим образом:

  1. перейти в перспективу "DNS";
  2. выбрать зону, являющуюся родительской для зоны MS AD, нажать ПКМ и в контекстном меню выбрать "Новый узел (A) …" (рисунок 207);

Рисунок 207 – Выбор создания узла (А)

  1. ввести имя DNS-сервера MS AD в формате <Короткое_имя_сервера.Делегируемый_Домен> и проделать эту процедуру для каждого DNS-сервера MS AD (рисунок 208);

Рисунок 208 – Создание новой A-записи

  1. выбрать зону, являющуюся родительской для зоны MS AD, нажать ПКМ, выбрать из контекстного меню пункты "Создать" и "Полномочный сервер имен (NS) …";
  2. ввести имя делегируемого домена и имя сервера MS AD, для которого на предыдущем шаге была создана A-запись; проделать эту процедуру для каждого DNS-сервера MS AD (рисунок 209).

Рисунок 209 – Создание новой NS-записи

Для домена MS AD в качестве серверов перенаправления необходимо указать DNS-серверы домена Dynamic Directory при установке (для автоматической настройки должны быть указаны в качестве серверов DNS в параметрах сетевого соединения) или после установки в настройках сервера следующим образом:

  1. открыть приложение "Диспетчер DNS";
  2. выбрать необходимый сервер и по ПКМ из контекстного меню выбрать пункт "Свойства" (рисунок 210);

Рисунок 210 – Выбор свойств сервера

  1. добавить или изменить серверы пересылки на соответствующей вкладке (рисунок 211).

Рисунок 211 – Добавление серверов пересылки

Создание доверительных отношений

Для создания доверительных отношений необходимы данные учетных записей администраторов, имеющих права на создание доверия в управляемом лесу MS AD и домене Dynamic Directory. Отношения строятся как отношения между лесами MS AD, при этом домен Dynamic Directory представляется серверам MS AD в качестве леса MS AD.

Следует обратить внимание, что учетная запись администратора MS AD обязательно должна иметь login, состоящий из латинских символов.

Для создания доверительных отношений нужно выполнить следующие действия в графическом интерфейсе Dynamic Directory:

  1. перейти в перспективу "Управление ролевой моделью", нажать ПКМ на папке "Отношения доверия" и нажать ЛКМ на пункт контекстного меню "Новое доверие…" для создания доверия (рисунок 212);

Рисунок 212 – Выбор создания доверия

  1. создать доверие с доменом MS AD, указав необходимые данные и нажав клавишу ОК (рисунок 213);

Рисунок 213 – Параметры нового доверия

  1. в правой панели появится имя домена MS AD (рисунок 214).

Рисунок 214 – Отношения доверия

На этом создание доверия с доменом MS AD завершено.

Настройка доверительных отношений с использованием общего ключа

Настройка доверительных отношений с использованием общего ключа используется только при невозможности использовать настройку доверительных отношений с доменом MS Active Directory с использованием учетной записи MS AD, описанной в пункте Доверительные отношения с доменом MS Active Directory.

Установка доверительных отношений со стороны AD

Через операцию "Мастер создания доверия" в AD можно установить доверительные отношения с Системой, создав общий ключ доверия.

К моменту начала настройки серверы Системы должны разрешать имена леса AD, с которым настраивается доверие, а серверы леса AD должны разрешать имена Системы.

На серверах IPA для службы bind (named) должна быть отключена опция dnssec.

Между серверами в обе стороны должны быть открыты следующие порты (согласно существующей схеме сетевого взаимодействия):

  • 53/tcp,udp;
  • 88/tcp,udp;
  • 123/udp;
  • 135/tcp;
  • 137/tcp/udp;
  • 138/tcp/udp;
  • 139/tcp,udp;
  • 389/tcp,udp;
  • 445/tcp,udp;
  • 464/tcp,udp;
  • 636/tcp,udp;
  • 1024-1300/tcp;
  • 2535/udp;
  • 3268/tcp,udp;
  • 3269/tcp,udp.

Действия выполняются на одном из корневых контроллеров домена AD:

  1. зайти в подсистему Active Directory "Домены и доверие", затем по ПКМ из контекстного меню выбрать "Свойства" леса, с которым настраивается доверие (рисунок 215);

Рисунок 215 – Active Directory – домены и доверие

  1. перейти на вкладку "Отношения доверия" и нажать кнопку Создать отношения доверия… (рисунок 216);

Рисунок 216 – Создание отношения доверия

  1. нажать кнопку Далее, как показано на рисунке 217;

Рисунок 217 – Мастер создания отношения доверия

  1. ввести имя домена FreeIPA и нажать Далее (рисунок 218);

Рисунок 218 – Имя отношения доверия

  1. выбрать "Отношения доверия со сферой" и нажать Далее (рисунок 219);

Рисунок 219 – Тип доверия

  1. выбрать "Нетранзитивное" и нажать Далее (рисунок 220);

Рисунок 220 – Транзитивность доверия

  1. выбрать "Одностороннее: входящее" и нажать Далее (рисунок 221);

Рисунок 221 – Направление отношения доверия

  1. заполнить поля "Пароль отношения доверия" и "Подтверждение пароля отношения доверия" и нажать кнопку Далее (рисунок 222). Заданный пароль необходимо передать специалисту, настраивающему отношения доверия со стороны домена Системы;

Рисунок 222 – Пароль отношения доверия

  1. проверить заданные параметры и нажать кнопку Далее (рисунок 223);

Рисунок 223 – Завершение выбора доверия

  1. в следующем окне для завершения создания отношения доверия нажать кнопку Готово (рисунок 224).

Рисунок 224 – Завершение мастера создания отношения доверия

В списке входящих отношений доверия появился новый домен (рисунок 225).

Рисунок 225 – Созданное отношение доверия

На этом настройка доверия со стороны корневого контроллера домена AD завершена.

Установка доверительных отношений со стороны FreeIPA

Для установки доверительных отношений со стороны FreeIPA необходимо выполнить на сервере службы каталогов команду:

ipa trust-add --type=ad <доменное имя леса> --trust-secret

На запрос "Shared secret for the trust:" нужно ввести ключ доверия, созданный при настройке доверия со стороны AD, рассмотренном в предыдущем пункте 8.1.7.1 настоящего документа:

Shared secret for the trust:

После успешного создания доверия Система выдаст сообщение с информацией о созданных доверительных отношениях, например:

Shared secret for the trust:
----------------------------------------
Established trust to domain <доменное имя леса>
----------------------------------------
Realm name: <доменное имя леса>
Domain NetBIOS name: <имя леса>
Domain Security Identifier: S-1-5-21-1655324943-2858660083-3490356138
Trust direction: Trusting forest
Trust type: Active Directory domain
Trust status: Waiting for confirmation by remote side

Проверка доверительных отношений

После установления доверия на стороне AD необходимо получить список доверенных доменов леса AD. Это можно сделать с помощью следующей команды:

ipa trust-fetch-domains "<доменное имя леса>"

При успешном выполнении этой команды FreeIPA получит информацию о доверенных доменах и создаст для них все необходимые диапазоны идентификаторов, при этом в консоль будет выведено следующее сообщение:

----------------------------------------------------------------------------------------
List of trust domains successfully refreshed. Use trustdomain-find command to list them.
----------------------------------------------------------------------------------------
------------------------------
Number of entries returned 0
------------------------------

С помощью команды trustdomain-find можно просмотреть список доверенных доменов из доверенного леса:

ipa trustdomain-find "<доменное_имя_леса>"

При успешном выполнении этой команды в консоль будет выведено сообщение, содержащее список доменов леса:

Domain name: <n-ое имя домена леса>
Domain NetBIOS name: <имя леса>
Domain Security Identifier: S-1-5-21-1366257071-2554263668-3331870214
Domain enabled: True
Number of entries returned 1
-----------------------------

Добавление группы MS Active Directory в группу Dynamic Directory

Для добавления группы пользователей MS Active Directory в группу Dynamic Directory нужно выполнить следующие действия:

  1. перейти в перспективу "Объекты службы каталога", нажать ПКМ на папке "Группы пользователей" и нажать ЛКМ на пункт контекстного меню "Создать ® Группа пользователей", чтобы создать новую группу пользователей (рисунок 226);

Рисунок 226 – Создание новой внешней группы

  1. ввести имя группы, установить переключатель типа группы в положение "Внешний" и нажать кнопку ОК;
  2. нажать ПКМ на вновь созданной группе в панели списка, в контекстном меню выбрать ЛКМ опцию "Свойства", перейти на вкладку "Внешний" и, нажав кнопку Добавить, ввести имя внешней группы и домена в формате <имя_группы@имя_домена>, нажать кнопку ОК (рисунок 227);

Рисунок 227 – Привязка внешней группы

  1. нажать ПКМ на папке "Группы пользователей" и нажать ЛКМ на пункт контекстного меню "Создать -> Группа пользователей", чтобы создать новую группу пользователей (рисунок 228);

Рисунок 228 – Создание новой группы

  1. ввести имя группы, установить переключатель типа группы в положение "POSIX" и нажать кнопку ОК;
  2. нажать ПКМ на вновь созданной группе в панели списка, в контекстном меню выбрать ЛКМ опцию "Свойства", перейти на вкладку "Участники" и, нажав кнопку Добавить, выбрать в окне поиска объектов внешнюю группу, нажать кнопку ОК (рисунок 229);

Рисунок 229 – Привязка внешней группы к группе пользователей

Для проверки на АРМ в домене Dynamic Directory выполнить команду следующего вида:

$ id ИМЯ_ПОЛЬЗОВАТЕЛЯ_В_ГРУППЕ_ДОМЕНА_MS_AD

Например, в результате выполнения команды:

[root@dc1-main ~]# id winadmin@win.rosa

будет получен ответ:

uid=1016401103(winadmin@win.rosa) gid=1016401103(winadmin@win.rosa) группы=1016401103(winadmin@win.rosa),1016400520(владельцы-создатели групповой политики@win.rosa),1016400519(администраторы предприятия@win.rosa),1016400512(администраторы домена@win.rosa),1016400518(администраторы схемы@win.rosa),1016400513(пользователи домена@win.rosa),799400005(ad_admins)

В выводе на экран при успешном добавлении должна присутствовать группа в домене Dynamic Directory. В рассматриваемом примере таковой является группа 799400005(ad_admins).

Добавление группы MS Active Directory в группу Dynamic Directory с использованием командной строки

Для возможности настройки правил sudo для пользователей леса в Системе необходимо настроить сопоставление групп леса с posix-группами Системы. Данное сопоставление настраивается с использованием внешних групп FreeIPA.

Для сопоставления группы "<доменное имя леса>\Domain Admins" леса с группой ad_admins_external и добавления внешней группы ad_admins_external в posix-группу ad_admins Системы необходимо выполнить следующие команды:

  1. добавить внешнюю группу ad_admins_external:
ipa group-add --desc='ad domain admins external map' ad_admins_external –-external
  1. добавить группу ad_admins:
ipa group-add --desc='ad domain admins' ad_admins
  1. сделать сопоставление группы "<доменное имя леса>\Domain Admins" домена AD с внешней группой FreeIPA ad_admins_external:
ipa group-add-member ad_admins_external --external '<доменное имя леса>\Domain Admins'

После выполнения команды будет выведен запрос:

member_user:

в ответ на который нужно нажать клавишу Enter, затем будет выведен запрос:

member_group:

в ответ на который следует нажать клавишу Enter.

  1. добавить группу ad_admins_external в группу ad_admins:
ipa group-add-member ad_admins --groups ad_admins_external

После этого Система будет воспринимать пользователей группы "<доменное имя леса>\Domain Admins" леса как пользователей группы ad_admins Системы.

Увеличение количества идентификаторов объектов для домена AD

При большом количестве объектов в домене AD может возникать ситуация, когда выделенных 200 000 идентификаторов будет недостаточно для сопоставления со всеми объектами домена AD, при этом некоторые пользователи не смогут быть идентифицированы, и при попытке входа такими пользователями возникнет ошибка авторизации ("Пользователь не найден").

Для предотвращения этой проблемы после создания и проверки доверительных отношений необходимо ввести новое значение количества идентификаторов – 2 000 000, выполнив следующие действия:

  1. с помощью команды idrange-find просмотреть список доверенных доменов AD:
ipa idrange-find

При успешном выполнении этой команды в консоль будет выведено сообщение, содержащее список доверенных доменов AD с указанием количества идентификаторов:

-------------------------------------
установлено соответствие 3 диапазонов
-------------------------------------
Имя диапазона: AD-DEV.ROSA-DEV_id_range
Первый идентификатор POSIX диапазона: 519000000
Количество идентификаторов в диапазоне: 200000
Первый RID соответствующего диапазона RID: 0
SID доверенного домена: S-1-5-21-1052671190-3684020707-826727702
Тип диапазона: Active Directory domain
Имя диапазона: DD-DEV.ROSA.DEV_id_range
Первый идентификатор POSIX диапазона: 946600000
Количество идентификаторов в диапазоне: 200000
Первый RID соответствующего диапазона RID: 1000
Первый RID вторичного диапазона RID: 100000000
Тип диапазона: local domain range
Имя диапазона: DD-DEV.ROSA.DEV_subid_range
Первый идентификатор POSIX диапазона: 2147483648
Количество идентификаторов в диапазоне: 2147352576
Первый RID соответствующего диапазона RID: 2147283648
SID доверенного домена: S-1-5-21-738065-838566-3756418153
Тип диапазона: Active Directory domain range
---------------------------------
Количество возвращенных записей 3
------------------------------
  1. выбрать из списка интересующий домен AD, ввести новое значение количества идентификаторов – 2 000 000, выполнив команду:
ipa idrange-add <имя домена> --base-id=520000000 --range-size=2000000

После выполнения команды будет выведен запрос:

Первый RID соответствующего диапазона RID:

в ответ на который нужно ввести значение "520000000" и нажать клавишу Enter.

Затем будет выведен запрос:

Первый RID вторичного диапазона RID:

в ответ на который нужно ввести значение "520200000" и нажать клавишу Enter.

Аналогичные действия нужно проделать для каждого из доменов, имеющих более чем 200 000 объектов.

Дополнительные параметры, ускоряющие вход в Систему для пользователей доверенного домена AD

Дополнительные параметры вносятся в конфигурационные файлы контроллеров домена СК.

Параметры SSSD определяются в файле /etc/sssd/sssd.conf:

[domain/<Домен Системы>]
entry_cache_timeout = 864000
refresh_expired_interval = 5400
entry_cache_nowait_percentage = 1
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0

где:

  • entry_cache_timeout=5184000 – указывает сколько секунд nss_sss должен считать записи действительными, прежде чем снова запрашивать серверную часть. Отметки времени истечения срока действия кэша хранятся как атрибуты отдельных объектов в кэше. Следовательно, изменение тайм-аута кэша влияет только на вновь добавленные или просроченные записи;
  • refresh_expired_interval=5400 – указывает, сколько секунд SSSD должен ждать перед запуском задачи фонового обновления, которая обновит все просроченные или почти просроченные записи. Фоновое обновление будет обрабатывать пользователей, группы и сетевые группы в кэше. Для пользователей, которые выполнили операцию initgroups (получение членства в группе для пользователя; обычно запускается при входе в систему) в прошлом, как запись пользователя, так и членство в группах будут обновлены. Эта опция автоматически наследуется для всех доверенных доменов;
  • subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout – задает список параметров конфигурации, которые должны быть унаследованы поддоменом;
  • ignore_group_members = True – определяет отмену возврата членов группы для поиска в группах. Если установлено значение TRUE, атрибут членства в группе не запрашивается с сервера LDAP, и члены группы не возвращаются при обработке вызовов группового поиска, таких как "getgrnam (3)" или "getgrgid (3)". В результате "getent group $ groupname" будет возвращать запрошенную группу, как если бы она была пустой. Включение этого параметра также может значительно ускорить проверку поставщиком доступа на членство в группах, особенно для групп, содержащих много участников;
  • ldap_purge_cache_timeout = 0 – время принудительной очистки кэша ("0" – принудительная очистка отключена);
  • entry_cache_nowait_percentage = 1 – кэш записей настраивается на автоматическое обновление записей в фоновом режиме, если они запрашиваются сверх определенного процента значения entry cache_timeout для домена.

Миграция данных из AD

Условиями для миграции данных из AD являются:

  • пользователь имеет права на создание пользователей в домене и на чтение информации о пользователях в AD;
  • ПК введен в домен и имеет доступ к AD;
  • пользователь авторизовался в домене.

Миграция данных из AD демонстрируется на примере заранее созданной структуры в домене AD (рисунок 230), в которой:

  • в ОП wou1 расположен пользователь wtu1;
  • в ОП wou11, подчиненном по отношению к ОП wou1, – пользователь wtu2;
  • в ОП wou111, подчиненном по отношению к ОП wou11, – пользователь wtu3;
  • в ОП wou12, подчиненном по отношению к wou1, –пользователь wtu4;
  • в остальных ОП пользователей нет.

Рисунок 230 – Структура данных в AD

Для подготовки процедуры миграции нужно на АРМ, введенном в домен, установить скрипт миграции командой:

dnf install dd-migrate

Полностью возможности скрипта можно посмотреть, набрав в консоли команду:

ad_migrate -h

Вывод на экран справки по скрипту приведен на рисунке 231.

Рисунок 231 – Справка по скрипту ad_migrate

Описание параметров и опций скрипта:

  • ad_fqdn – полное имя домена AD; возможен также вариант написания "ip DC AD", если не определяется по имени (нет в DNS);
  • ad_login – логин с доменом (например, admin@win.test);
  • ad_password – можно указать явным образом пароль (например, QWE123qwe);
  • -p – пароль скрыт и при вводе не виден;
  • -type – для миграции отдельно ОП (ou), потом пользователя (user) или все вместе и сразу (all); следует обратить внимание, что если мигрировать user без создания структуры, то будут возникать ошибки;
  • -pass_random – мигрированным пользователям присваивается случайный пароль, который можно будет посмотреть, если указать параметр "-pass_dir";
  • -pass_dir – путь на локальном АРМ, из которого запускается скрипт (например, /home/localadmin/pass) и в который будут сохраняться файлы в текстовом формате с логином и случайным паролем из параметра "- pass_random";
  • -pass_default - всем мигрированным пользователям будет назначен одинаковый пароль, указанный параметром в скрипте (например, "-pass_default QWE123qwe");
  • -basedn_ad – путь Base DN для миграции из AD (например, ou=wou1,dc=win,dc=test – миграция только ou=wou1);
  • -baserdn_dd – путь BASE DN для миграции в Систему; если выполняется на АРМ, введенном в домен Dynamic Directory, то можно указывать просто ОП ou, в которое нужно мигрировать ou и users из AD (например, ou=migrate);
  • -subtree – если нужно мигрировать все вложенные ou и users, то применяется эта опцию; если не указывать, то будет проведена миграция конкретно указанного ou;
  • -filter - опциональные LDAP-фильтры.

Для запуска процедуры миграции нужно в командной строке указать имя скрипта, необходимые параметры и выполнить, например:

kinit admin
ad_migrate -ad_fqdn 10.10.35.11 -ad_login admin@win.test -p -type all - basedn_ad dc=win,dc=test -baserdn_dd ou=migrate -subtree

Результат выполнения должен выглядеть примерно так, как изображено на рисунке 232.

Рисунок 232 – Результат выполнения скрипта ad_migrate

Результат миграции можно посмотреть в графическом интерфейсе перспективы "Объекты службы каталога" в секции "Подразделения" (рисунок 233).

Рисунок 233 – Структура мигрированных данных в Системе

После миграции структура данных ОП и пользователей переносится из AD в неизмененном виде.

Применение групповых политик к пользователям доверенного домена

Применение групповых политик к пользователям доверенного домена можно рассмотреть для следующих начальных условий: создан домен Dynamic Directory и есть домен MS AD, в котором уже существуют пользователи и организационная структура, например win.srv (рисунок 234).

Между доменами Dynamic Directory и MS AD настроены доверительные отношения.

Рисунок 234 – Начальные условия

C учетом начальных условий требуется:

  • создать иерархию организационных единиц в Dynamic Directory аналогично иерархии в домене MS AD (синхронизируется разово, поддерживается в ручном режиме);
  • создать представления пользователей домена MS AD в домене Dynamic Directory в ручном или автоматическом режиме и периодически синхронизировать их в автоматическом режиме при необходимости;
  • добавить представления пользователей домена MS AD к групповым политикам Dynamic Directory одним из 3 способов:
  • добавить все переопределения пользователей представления "Default Trust View" в динамическую группу ipausers, которая по умолчанию добавлена в участники для всех создаваемых групповых политик;
  • создать динамическую группу для всех переопределений пользователей представления "Default Trust View" и добавить ее в участники групповой политики.
  • добавить отдельные переопределения пользователей представления "Default Trust View" в группу и добавить эту группу в участники групповой политики.

Для копирования иерархии организационных единиц из домена MS Active Directory в домен Dynamic Directory нужно выполнить следующие действия на АРМ администратора домена Системы admpc:

  1. установить скрипт миграции командой:
dnf install dd-migrate
  1. выполнить скрипт миграции ad_migrate для переноса структуры организационных единиц (с параметром -type ou). Пример выполнения скрипта:
kinit admin
ad_migrate -ad_fqdn 10.10.35.30 -ad_login admin@win.srv -p -type ou -basedn_ad dc=win,dc=srv -subtree

Процесс миграции должен выглядеть примерно так, как показано на рисунке 235.

Рисунок 235 –Процесс миграции

После выполнения в Dynamic Directory появляется полная структура ou, мигрированная с MS AD, но без пользователей (рисунок 236).

Рисунок 236 – Структура после миграции

Далее нужно создать переопределения идентификаторов для пользователей домена MS AD в представлении в домене Dynamic Directory, что описано в п. Работа с представлениями idview и переопределение идентификаторов для пользователей AD настоящего руководства.

Для синхронизации представлений пользователей домена MS AD в домене Dynamic Directory в автоматическом режиме на контроллере домена Dynamic Directory, являющимся контроллером доверия MS AD (роль "AD trust controller") выполняют следующие действия:

  1. чтобы обновлять пользователей доверенного домена в представлении "Default Trust View" (имя представления можно задать, используя ключ "—idview") домена Dynamic Directory с заданной периодичностью (например, каждые 15 минут), необходимо добавить выполнение скрипта idviews_sync.py в CRON с периодичностью 15 минут, отредактировав файл /etc/crontab (в этом примере использован редактор nano):
nano /etc/crontab
  1. добавить в конец файла строку (рисунок 237):
*/15 * * * * root /usr/sbin/idviews_sync.py --domain win.srv

где:

  • win.srv – доверенный домен MS AD, пользователи которого используются для входа в Систему.

Рисунок 237 – Настройка CRON

  1. проверить выполнение командой (рисунок 238):
journalctl -u cron.service -f

Рисунок 238 – Результат проверки

Если после создания доверия служба sssd или сервер не перезапускались, необходимо выполнить команду:

systemctl restart sssd

Действия для добавления представлений пользователей домена MS AD к групповым политикам могут быть реализованы тремя способами:

  1. Для всех пользователей домена MS AD для которых созданы переопределения в представлении.

Для возможности применения групповых политик к доверенным пользователям без необходимости внесения изменений в участниках групповой политики требуется добавить все переопределения представления "Default Trust View" в динамическую группу ipausers. URL для динамической группы будет иметь вид:

ldap:///cn=Default Trust View,cn=views,cn=accounts,dc=rosa,dc=test??sub?(objectClass=ipaUserOverride)

где dc=rosa,dc=test – суффикс домена.

Настройка производится следующими действиями:

  • зайти в перспективу "Управление стандартными объектами службы каталогов", выбрать системную папку "Группы пользователей", в правой панели найти группу ipausers, в контекстном меню которой выбрать "Свойства" (рисунок 239);

Рисунок 239 – Выбор свойств ipausers

  • перейти на вкладку "Участники" и добавить URL для динамической группы, который указан выше, как указано на рисунке 240.

Рисунок 240 – Добавление участников

  1. Создание динамической группы, содержащей все переопределения представления "Default Trust View", и привязка его к групповой политике.

В этом способе URL для динамической группы будет иметь вид:

ldap:///cn=Default Trust View,cn=views,cn=accounts,dc=rosa,dc=test??sub?(objectClass=ipaUserOverride)

где dc=rosa,dc=test – суффикс домена.

Создание динамической группы выполняется в соответствии с п. Создание, изменение и удаление динамических групп.

Настройка участников групповой политики выполняется в соответствии с п. Фильтрация применения политик к объектам.

  1. Привязка группы, в которую входят определенные представления к групповой политике.

Добавление переопределений пользователей в группу пользователей выполняется в соответствии с п. Добавление и удаление переопределения id пользователя (ID Override User).

Настройка участников групповой политики выполняется в соответствии с п. Фильтрация применения политик к объектам.

В результате выполнения вышеприведенных действий при входе пользователем MS AD на АРМ под управлением Dynamic Directory в отношении этого пользователя будут действовать настроенные политики домена Dynamic Directory.

Настройка DNSSEC

Для настройки DNSSEC на сервере MS AD нужно выполнить следующие действия:

  1. открыть консоль AD DNS;
  2. нажать ПКМ на контейнере необходимой DNS-зоны, выбрать "DNSSEC" и нажать ЛКМ на опцию меню "Подписать зону" (рисунок 190);

Рисунок 190 – Выбор настройки DNSSEC

  1. нажать в открывшемся окне "Мастер подписывания зоны" кнопку Далее (рисунок 191);

Рисунок 191 –Мастер подписывания зоны

  1. выбрать опцию "Использовать для подписывания зоны рекомендуемые параметры" и нажать кнопку Далее (рисунок 192);

Рисунок 192 – Параметры подписывания

  1. проверить параметры и нажать для подписания зоны кнопку Далее (рисунок 193);

Рисунок 193 – Подписание зоны

  1. выйти из мастера подписывания зоны, нажав кнопку Готово (рисунок 194).

Рисунок 194 – Завершение подписания зоны

Для настройки DNSSEC для работы с подписанной зоной MS AD на серверах Dynamic Directory дополнительно необходимо выполнить следующие действия:

  1. на сервере FreeIPA получить от сервера MS AD параметры ключей, выполнив команду вида:
dig dnskey ad.domain. @<IP-адрес_Windows_AD> +noall +answer

Например, при выполнении команды:

dig dnskey win.rosa. @10.125.17.10 +noall +answer

должен быть получен примерно такой ответ:

win.rosa 3600 IN DNSKEY 257 3 8 AwEAAba7WklWP7+VDsjxcdxUn8q6Iw252R7WXgsGAJ61m3naIGxe9h17 16tMvPdo9WToVm60drv1yXckEuZhLcvREDbBK/3av1AvXXj0k8GqzJ1Y jpPWb2jjswnXF868j/SAJVDnXRnczpxhUGvEE0AhgSDNqJ/bjgw+djbZ lAfhT96i2PJOHgj4wTB5zWEkpr7Sj2SCDCODBm6xTnoK2UB/hRs2lbeg ++N7jU5roa3VLtS4du97pEg/AjFkRidhCICtJQRExGaNpIOEt66OBNkn a6cXmkhZ+wCNpcggUMNTlKuNEmTsANfqVh27Xa+tYKWs4I6xeDUNYHhI 5y1bmeifdd8=
win.rosa 3600 IN DNSKEY 257 3 8 AwEAAboP69TMajoTP1fvwsSrGeMZ2nbhn6hFN0EWQXJQFL0twStSSWfn cYIZxKcQZ+ZyRLnxC4ivS+fDeq8h579klK2wO8z/p12Gjj87cGe0kTW/ 98SCwIg1T3c+Nw5QytRPb0dTCldFeBO589tmHsmG3HhnLsX/ByHyjxBI aMFOXR9qZ1115Og2vMOYL9E6+skcPbAUjrFrd5wbsoOg3uVIpk8filBn LXOKZpQ2QalihifgIAMIDoCKekktuFwQyU/r4S9y4ptuwkhUw5t1LX/b Yph2wy9RTUUKdOv4praD/PUKUVs8hSVq/p975gToJqmfWCGotpoWtt3L Tb9fnNTv0mk=
win.rosa 3600 IN DNSKEY 256 3 8 AwEAAc1/7RCwuCybEcCtqPBhXU7FjlvYTYo8uzTTZFQDlS3XmOjGbuzM CAERTb7ERLmO2ByyBEZVvEZ5fWyEJUCPR+oFm+h+epz8pPiDFNcuNehb EN+edCZ0hVdSygAKopZpswSMFH33umZu1fdNqEXLzpPV6UhGFfUKyXJV sFw6S24h
win.rosa 3600 IN DNSKEY 256 3 8 AwEAAblvRj8o7HEFtbDe2J6TGnLYbSsAGqoRXhWQs0E6PAb65Zuj8Yy4 z9wtwL7RUl1gmotLs8jtG1B7qM/RB3yArycqN+dLV7xXR9NwTOOqHTn9 2lU4lAy0aV/p3gGB+EY8C2dneVTJmmcJGJG1LnRwfmQOW0CXCy7mrUV3 yEoYCuAz
  1. добавить в конец файла /etc/named.root.key перед закрытием секции trust-anchors два последних полученных ключа и привести их в корректный формат по аналогии с уже имеющимися там ключами, а именно: в полученных ключах заменить пробел на перенос на новую строку. Сам ключ должен быть заключен в двойные кавычки и завершен символом ";" (точка с запятой);

На рисунке 195 приведен пример такого редактирования.

Рисунок 195 – Редактирование секции trust-anchors

  1. после внесение изменений перезапустить службу named командой:
sudo systemctl restart named