FreeIPA与AD互相信任之配置 FreeIPA 信任 AD

Linux系统 0 1605 佚名 收藏

配置信任 AD 后,就可以让 AD 上的用户直接登录 FreeIPA 的域,只要某台 linux 客户端加入 了 FreeIPA 域,那么我们就可以让 AD 账号登录那台 linux。 

测试环境:

Windows 2019 Standard: adsrv.ad.icinfra.com(10.21.183.157/23) 
CentOS 7.9: ipsrv.ipa.icinfra.com(10.21.182.167/23)
CentOS6.10: client01.ipa.icinfra.com(10.21.183.205/23)

a. 在 freeipa 服务器上安装 FreeIPA 信任 ad 

#kinit admin 
#ip-adtrust-install --netbios-name=IPASRV01

b. 配置 DNS

在 windows 2019 adsrv.ad.icinfra.com 上: 

Cmd>dnscmd 127.0.0.1 /ZoneAdd ipa.icinfra.com /Forwarder 10.21.182.167

在 Linux FreeIPA Server ipasrv.ipa.icinfra.com 上:

#kinit admin 
#ipa dnsforwardzone-add ad.icinfra.com –forwarder=10.21.183.157 –forward-policy=only 
#in named.conf 
dnssec-validation no; 
#systemctl restart named-pkcs11

c. 验证 DNS 查询 

On windows: 

Cmd>nslookup 
>set type=srv 
>_ldap._tcp.ipa.icinfra.com
>_ldap._tcp.ad.icinfra.com 
>quit

On Linux: 

#dig SRV _ldap._tcp.ipa.icinfra.com 
#dig SRV _ldap._tcp.ad.icinfra.com

d. 添加 AD 信任 

在 freeipa server 上 

#ipa trust-add --type=ad ad.icinfra.com --admin Administrator --password

 输入 AD 的 domain administrator 的密码 

e. FreeIPA Client 上测试 

#ssh aduserxx@ad.icinfra.com@client01.ipa.icinfra.com

或者在 FreeIPA 服务器上 

#su – ADSRV01\\aduserXX


相关推荐:

网友留言:

您需要 登录账户 后才能发表评论

我要评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
验证码