Инструкция Интеграция с MS AD 2.1

К

Костюков Владимир

Команда форума
Админ
Регистрация
04.03.23
Сообщения
266
Реакции
42
Управление доменом > Доверительные отношения > Миграция объектов AD
Жмем новое подключение к AD
Вводим имя домена к которому хотим подключиться [domain.name.ru]
Ставим [✔] Доверительные отношения
Проверяем что бы напротив Двусторонние доверительные отношения стояла галка
Вводим имя пользователя и пароль 2 раза от учетной записи обладающей правами Администратора домена.
Далее по желанию:
Ставим [✔] Миграция объектов AD
Контроллер домена: ldap://dc01.domain.test:389
Вводим имя пользователя и пароль 2 раза от учетной записи обладающей правами Администратора домена.
Базовое уникальное имя (base DN)
dc=domain,dc=name,dc=ru
Валидация записей DNS в файле /etc/bind/ipa-options-ext.conf параметр dnssec-validation установлен в no и разрешить подсеть.
Для MS 2019 доверительные отношения делаются с дополнениями.
Требуется зайти в интерфейс freipa используя ссылку https://dc.nii.test/ipa/ui/ (FQDN используется Ваш).
Заходим в раздел IPA Server - отношения доверия и выбираем домен MS AD.
Далее Заходим в доверенные домены, ставим галку напротив домена и нажимаем получить данные.
Если все прошло удачно появится окно с текстом:
Список надёжных доменов успешно обновлён. Используйте команду trustdomain-find для вывода этого списка
Нажмите для раскрытия...
Далее заходим в группы - astraad_test_users_external и заходим во вкладку внешний. Нажимаем добавить и пишем domain users@domain.test (вместо domain.test используется домен MS AD) и нажимаем сохранить.
 
Последнее редактирование:
Для отключения валидации записей DNS в файле /etc/bind/ipa-options-ext.conf изменить значение параметра dnssec-validation с yes на no:

dnssec-validation no;
dnssec-enable no;

sudo ipactl restart
 
Проверить и удалить обновления KB5031361 и KB5029247 в случае если группы не создались
 
Последнее редактирование:
Коллеги, подскажите - интеграция односторонняя что ли? Со стороны AD я объектов ALD не вижу, обратно все прозрачно, группы, пк, пользователи видны и могут использоваться для авторизации.
 
LordKaho написал(а):
Коллеги, подскажите - интеграция односторонняя что ли? Со стороны AD я объектов ALD не вижу, обратно все прозрачно, группы, пк, пользователи видны и могут использоваться для авторизации.
Нажмите для раскрытия...
Есть две различные операции и их не следует смешивать и путать:
1) есть миграция объектов ИЗ MS AD В ALD Pro - она односторонняя по своей логике и сути
2) есть создание двусторонних доверительных отношений между MS AD и ALD Pro.
У Вас какая постановка задачи?
 
Вопрос - домен АД имеет .local - ald такой не видит и подключаться не хочет. dig отвечает WARNING: .local is reserved for Multicast DNS
Что сделать, чтобы ничего не поломать?
 
rivan написал(а):
Вопрос - домен АД имеет .local - ald такой не видит и подключаться не хочет. dig отвечает WARNING: .local is reserved for Multicast DNS
Что сделать, чтобы ничего не поломать?
Нажмите для раскрытия...
Попробуйте в ТЕСТОВОЙ среде поднять 1 контроллер домена ALD Pro и 1 контроллер домена MS AD с именем домена .local. На контроллере домена ALD Pro удалите пакет avahi-daemon и перезагрузите его. Попробуйте Ваши шаги и оцените результат.
 
Если можно задам еще вопрос, когда ставишь ALD Pro по мануалу написано прописать и на клиенте и на сервере frozen репозитории 1.7.4 максимум. Тогда получается, что софт уже не обновить? Например версия яндекс браузера в этих репозиториях 23.3.1.930 stable corp. Т.е. безопасность хромает? Ну и ядро в 1.7.5 уже шестое, а у меня по сути 5.15
 
vasilisc написал(а):
Попробуйте в ТЕСТОВОЙ среде поднять 1 контроллер домена ALD Pro и 1 контроллер домена MS AD с именем домена .local. На контроллере домена ALD Pro удалите пакет avahi-daemon и перезагрузите его. Попробуйте Ваши шаги и оцените результат
vasilisc написал(а):
Попробуйте в ТЕСТОВОЙ среде поднять 1 контроллер домена ALD Pro и 1 контроллер домена MS AD с именем домена .local. На контроллере домена ALD Pro удалите пакет avahi-daemon и перезагрузите его. Попробуйте Ваши шаги и оцените результат.
Нажмите для раскрытия...
Отключил на контроллере домена aldpro avahi-daemon, перезагрузил его и ничего не поменялось, если на самом контроллере делать dig xxx.local пишет ту же ошибку
Нажмите для раскрытия...
 
Костюков Владимир написал(а):
rivan, Я ставил отдельно версию выше и проблем не заметил
Нажмите для раскрытия...
Пробую ставить deb пакет из репозитория яндекса - не удовлетворенные зависимости. И так, как нельзя подключать другие репозитории к клиенту ALD Pro, то установить не могу.
 

Вложения

  • Screenshot_20240112_125958.png
    Screenshot_20240112_125958.png
    77.3 KB · Просмотры: 18
По яндекс браузеру вопрос снят - если кому интересно не надо ставить корпоративную версию, обычная stable версия ставится. Качать из репозитория яндекса не подключая его, просто deb файл.
И вопрос почти по теме - есть в aldpro импорт пользователей? Допустим из csv или еще как нибудь? Смысл в том, что я в начале года создаю пользователей новым студентам. csv я генерирую и в MS AD импорт работает. Хотелось бы и в aldpro тоже вводить кучу новых пользователей импортом.
Ну и по .local нет идей? avahi-daemon не помог. Похоже там и в bind еще что то нужно править.
 
Коллеги, подскажите. Поставил ALD Pro 2.2, подружил c MS AD. Могу перекрестно подключиться к локальным рабочим местам.
Но я не вижу учетных записей пользователей ALD Pro в MS AD, и аналогично не вижу в вэб интерфейсе ALD Pro (srv/ad/ui/#/) пользователей из MS AD, и как следствие не могу давать им права.
Подскажите, куда копать, или где можно об этом прочитать.
 
o.veselov написал(а):
Коллеги, подскажите. Поставил ALD Pro 2.2, подружил c MS AD. Могу перекрестно подключиться к локальным рабочим местам.
Но я не вижу учетных записей пользователей ALD Pro в MS AD, и аналогично не вижу в вэб интерфейсе ALD Pro (srv/ad/ui/#/) пользователей из MS AD, и как следствие не могу давать им права.
Подскажите, куда копать, или где можно об этом прочитать.
Нажмите для раскрытия...
И не увидишь через Web интерфейс и в AD через оснастку.
В MS AD пользователи и группы ALDPRO видны в локальных группах при поиске выбрав домен ALDPRO. Как пользователи/группы внешнего домена можно добавить только в локальные/ресурсные группы. Видны все пользователи и группы ALDPRO.
С другой стороны (ALDPRO) работает через группы external. В локальную группу (ALDPRO), с розданными правами включается созданная группа External которая привязана к внешней группе домена MS AD (на вкладке внешняя группа). Пользователи MS AD включенные в группу MS AD получают доступ группы (ALDPRO). Кстати, со стороны ALDPRO, по моему, видны/вычитываются все группы домена AD. И универсальные, и глобальные , и локальные.
Да и еще, внешние (external) группы я заводил в ipa интерфейсе. А массово (для доступа пользователей к принтерам) через скрипты.
Связку с пользователями и группами находил на форуме. В документе ALD Pro Samba share и доступ к ней для пользователей доверенного домена MS AD-v3.pdf.
Выглядит примерно так:
ipa group-add --desc='act.dir shares external map' shares_external_ad --external
ipa group-add --desc='act.dir shares' shares_external
ipa group-add-member shares_external_ad --external 'ACT\shares'
ipa group-add-member shares_external --groups shares_external_ad
По порядку:
Создаем External группу shares_external_ad с описанием
Создаем внутреннюю группу shares_external с описанием
Привязываем к внешней/external группе группу домена AD ACT\shares, где ACT - домен, а shares - группа. Работает и с group@msad.domain. В IPA web интерфейсе - точно.
Добавляем во внутреннюю группу ALDPRO shares_external группу external shares_external_ad

Через оснастку IPA действия аналогичные. - посмотреть и разобраться можно и не сложно.

Дальше - проверяем.
 

Вложения

  • ALD Pro Samba share и доступ к ней для пользователей доверенного домена MS AD-v3.pdf
    109.9 KB · Просмотры: 41
Подскажите в чем может быть проблема при миграции, голову сломал?
Мигрирую с MS AD (Server 2019 St).
1708431786476.png
/
 
Всем привет.
Колеги, подскажите куда копать, бьюсь уже много времени, но никак не получается подружить домен на Windows и ALDPRO 2.1.0.
Делаю все по инструкции, едниственно, что работает так это миграция пользователя из Win домена в домен ALDPRO. Аутентификация с учетокй от домен АЛД в домене Win не проходит и наоборт соотвествено. В панели ALD все параметры трастов пройдены, если из Вин домена попытаться проверить доверительны отношения, то будет ошибка. т.е что то работает некооретно. Проделывал все на разных виртуалках, сиптоматика одна и таже.

что проделывал:
-астра 1.7.4, 1.7.5
-подключен репозиторий алд 2.1.0
-устновлен АЛД 2.1.0 по интсрукции, как с сайта так и с курсов. Все разворачивается и работает.
-Интеграция с АД проходит из АЛДПРО, ошибок панель АЛД не выдает в момент интеграции.
-юзер admin в АЛД дополнительно добавлен в группу ald trust users
-пароли все в тестовой среде одинаковвые, так что неправильный набор исключаю и много раз перебивал все учетные данные.
-доверительные отношения пересоздавал тоже несколько раз, как из АЛДПРО, так и пробовал из Винды в сторону АЛД про, результат тотже, ничего не работате по аутентификации.
-настройки ДНС все нормальные, домены по ДНС дург-друга видят, делал даже отдельно стаб зону для алд домена в виндовом домене.
-правки с отключением днссек делал.
-сетевые настройки тоже рабочие, контроллер друг друга видят, пингуют. как по именам. так и по ip.
 

Вложения

  • Screenshot_5.jpg
    Screenshot_5.jpg
    38.5 KB · Просмотры: 28
  • Screenshot_4.jpg
    Screenshot_4.jpg
    31 KB · Просмотры: 30
  • Screenshot_3.jpg
    Screenshot_3.jpg
    72.8 KB · Просмотры: 31
  • Screenshot_1.jpg
    Screenshot_1.jpg
    34.8 KB · Просмотры: 29
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу