配置信任 AD 后,就可以让 AD 上的用户直接登录 FreeIPA 的域,只要某台 linux 客户端加入 了 FreeIPA 域,那么我们就可以让 AD 账号登录那台 linux。
测试环境:
Windows 2019 Standard: adsrv.ad.icinfra.com(10.21.183.157/23) CentOS 7.9: ipsrv.ipa.icinfra.com(10.21.182.167/23) CentOS6.10: client01.ipa.icinfra.com(10.21.183.205/23)
a. 在 freeipa 服务器上安装 FreeIPA 信任 ad
#kinit admin #ip-adtrust-install --netbios-name=IPASRV01
b. 配置 DNS
在 windows 2019 adsrv.ad.icinfra.com 上:
Cmd>dnscmd 127.0.0.1 /ZoneAdd ipa.icinfra.com /Forwarder 10.21.182.167
在 Linux FreeIPA Server ipasrv.ipa.icinfra.com 上:
#kinit admin #ipa dnsforwardzone-add ad.icinfra.com –forwarder=10.21.183.157 –forward-policy=only #in named.conf dnssec-validation no; #systemctl restart named-pkcs11
c. 验证 DNS 查询
On windows:
Cmd>nslookup >set type=srv >_ldap._tcp.ipa.icinfra.com >_ldap._tcp.ad.icinfra.com >quit
On Linux:
#dig SRV _ldap._tcp.ipa.icinfra.com #dig SRV _ldap._tcp.ad.icinfra.com
d. 添加 AD 信任
在 freeipa server 上
#ipa trust-add --type=ad ad.icinfra.com --admin Administrator --password
输入 AD 的 domain administrator 的密码
e. FreeIPA Client 上测试
#ssh aduserxx@ad.icinfra.com@client01.ipa.icinfra.com
或者在 FreeIPA 服务器上
#su – ADSRV01\\aduserXX
网友留言: