Добавление групп в мс ад

[Костюков Владимир]

Что бы добавлять группы без запроса пароля нам потребуется :
1) Выполнить kinit admin
2) Переопределить id администратора в предоставление Default Trust: ipa idoverrideuser-add 'default trust view' administrator@domain.test
Где, administrator@domain.test - имя администратора MS AD
3) Добавить администратора из MS AD в группу admins ALD PRO: ipa group-add-member admins --idoverrideuser administrator@domain.test
Теперь можно добавлять группы в MS AD

 

[mdo]

Достаточно в default trust view добавить учётку, которой делегированы права на добавление/удаление пользователей/групп в группу домена AD.
Добавлять админа из AD в админы ALD и наоборот это безумие.
Вообще, запрос авторизации при добавлении группы, говорит о том, что либо траст неполноценный, либо некорректно передаются текущие креды. В Samba DC такого нет. Там всё чётко.

ЗЫ
А вообще, если при запросе кредов, просто нажать Cancel, то группа всё равно добавится.