a. freeipa 上添加 AD 服务器
#ipa host-add adsrv.ad.icinfra.com –ip-address=10.21.183.157 #ipa-getkeytab -s ipasrv.ipa.icinfra.com -p host/adsrv.ad.icinfra.com -e arcfour-hmac -k /etc/krb5.keytab.adsrv -P
b. windows 上配置
cmd>ksetup /setdomain IPA.ICINFRA.COM cmd>ksetup /addkdc IPA.ICINFRA.COM ipasrv.ipa.icinfra.com cmd>ksetup /addkpassword IPA.ICINFRA.COM ipasrv.ipa.icinfra.com cmd>ksetup /setcomputerpassword xxxpassword cmd>ksetup /mapuser “ ”
c. 配置组策略
cmd: gpedit.msc --> [Windows Settings] - [Security Settings] - [Local Policies] - [Security Options] 打开右边的 Network Security : Configure encryption types allowed for Kerberos
然后配置:
d. AD 上添加账号
AD 上添加一个跟 FreeIPA 上同名的账号,设置密码永不过期。登录的时候,我们用 FreeIPA 上设置的密码即可。
大部分时候,我们都不会用 FreeIPA 上的账号去登录 windows。相反,我们会经常配置 AD 账号直接登录Linux。
我们还需要使用 FreeIPA 服务器来统一管理 sudo 权限,autofs 的 map,密码 policy 等 更多高级功能。
网友留言: