ЛР 4.8 - Создание нового домена на FreeIPA

Подготовка

  1. Выключите старый контроллер домена клиентские ВМ.
  2. Склонируйте новые клиентские ВМ и подготовьте их к введению в домен.
  3. Склонируйте ВМ tmpl-rocky9-server в *lin-dc-freeipa.
  4. Включите синхронизацию времени с ntp-сервером.
  5. Проверьте FQDN-имя в /etc/hostname и /etc/hosts
  6. Отключите SELinux:
    setenforce 0
    nano /etc/selinux/config
SELINUX=disabled
  1. Отключите firewalld:
    systemctl disable firewalld
  2. Перезагрузите ВМ.

Установка FreeIPA

  1. Установите необходимые пакеты:
    dnf install ipa-server ipa-server-dns
  2. Запустите установочный скрипт:
    ipa-server-install
Do you want to configure integrated DNS (BIND)? [no]: yes
Server host name [lin-dc.lab.lan]:
Please confirm the domain name [lab.lan]:
Please provide a realm name [LAB.LAN]:

Directory Manager password: specialist
Password (confirm): specialist

IPA admin password: specialist
Password (confirm): specialist

Do you want to configure DNS forwarders? [yes]:
Following DNS servers are configured in /etc/resolv.conf: 77.88.8.8
Do you want to configure these servers as DNS forwarders? [yes]:
All detected DNS servers were added. You can enter additional addresses now:
Enter an IP address for a DNS forwarder, or press Enter to skip: 77.88.8.1
DNS forwarder 77.88.8.1 added. You may add another.
Enter an IP address for a DNS forwarder, or press Enter to skip:
DNS forwarders: 77.88.8.8, 77.88.8.1

Do you want to search for missing reverse zones? [yes]:
Checking DNS domain 30.20.10.in-addr.arpa., please wait ...
Do you want to create reverse zone for IP 10.20.30.10 [yes]:
Please specify the reverse zone name [30.20.10.in-addr.arpa.]:
Checking DNS domain 30.20.10.in-addr.arpa., please wait ...
Using reverse zone(s) 30.20.10.in-addr.arpa.

NetBIOS domain name [LAB]:

Do you want to configure chrony with NTP server or pool address? [no]:

Continue to configure the system with these values? [no]: yes
  1. Проверьте работоспособность KDC.

Ввод Linux-клиента в домен FreeIPA

  1. Введите клиентов в домен:
    apt install freeipa-client
    ipa-client-install --mkhomedir
  2. Откройте веб-интерфейс FreeIPA по адресу https://lin-dc.lab.lan и создайте трех пользователей - director, manager и support.
  3. Проверьте возможность получения тикета на клиентской машине под любой из учетных записей.
  4. Перезагрузите машину.
  5. Авторизуйтесь на клиентской машине под любым из них.

Ввод Windows-клиента в домен FreeIPA

  1. В веб-интерфейсе FreeIPA перейдите в раздел Hosts.
  2. Добавьте новый хост, указав имя машины и ip.
  3. Перейдите в консоль FreeIPA и сгенерируйте новый ключ для принципала:
    kinit admin
    ipa-getkeytab -s lin-dc.lab.lan -p host/win-client.lab.lan@LAB.LAN -e aes256-cts,aes128-cts,aes256-sha2,aes128-sha2,camellia256-cts-cmac,camellia128-cts-cmac -k /etc/krb5.keytab -P
  4. Проверьте список принципалов:
    klist -k
  5. Проверьте статус хоста в веб-интерфейсе FreeIPA.
  6. На машине WIN-CLIENT выполните следующие команды:
    ksetup /setdomain LAB.LAN
    ksetup /addkdc LAB.LAN lin-dc.lab.lan
    ksetup /addkpasswd LAB.LAN lin-dc.lab.lan
    ksetup /setcomputerpassword specialist
    ksetup /mapuser * *
  7. На машине WIN-CLIENT запустите gpedit.msc и настройте параметр:
    Windows Settings > Security Settings > Local Policies > Security Option
    Network Security: Configure encryption types allowed for Kerberos
    Разрешите все, кроме DES*

freeipa_win

  1. Перезагрузите ВМ и авторизуйтесь под доменной учеткой, явно указав realm. (support@LAB.LAN).
    Для того, чтобы не указывать realm полностью, воспользуйтесь следующим конфигом:

freeipa_logon_domain