...
Взаимодействие протестировано с сервером службы каталога FreeIPA версии 4.8.10, работающим под управлением ОС Astra Linux 1.7.3 "Смоленск".
В отличии от интеграции с Microsoft Active Directory, где вам не понадобится ничего делать с настройками самого домена/контроллера домена, для FreeIPA вам необходимо будет выполнить определенные действия на главном сервере службы каталога.
В приведенном ниже примере используются следующие наименования:
- Имя домена (каталога): astradom.wnam.ru
- Имя контроллера домена (каталога): wnam16-astra.astradom.wnam.ru
- Имя сервера, на котором установлен adctool: wnam-15.astradom.wnam.ru
1. Настройка каталога
Зайдите в консоль контроллера с правами root (либо выполняйте команды через sudo).
### компоненты для модификации схемы каталога и добавлении нужных атрибутов
apt install freeipa-server-trust-ad
ipa-adtrust-install --add-sids
### создание отдельной привилегии для чтения атрибута хэша пароля
ipa permission-add 'ipaNTHash service read' --attrs=ipaNTHash --type=user --right=read
ipa privilege-add 'Radius services' --desc='Privileges needed to allow radiusd servers to operate'
ipa privilege-add-permission 'Radius services' --permissions='ipaNTHash service read'### создание отдельной роли RADIUS-сервера, и добавления ей этой привилегии
ipa role-add 'Radius server' --desc="Radius server role"
ipa role-add-privilege --privileges="Radius services" 'Radius server'### создание сервиса в каталоге, которому будет позволено подключаться к каталогу
ipa service-add 'wnam/wnam16-astra.astradom.wnam.ru'
Теперь создайте файл ldif.txt с командами, которые позволят задать сервису статический пароль (в примере - Qwerty123):
dn: krbprincipalname=wnam/wnam16-astra.astradom.wnam.ru@ASTRADOM.WNAM.RU,cn=services,cn=accounts,dc=astradom,dc=wnam,dc=ru
changetype: modify
add: objectClass
objectClass: simpleSecurityObject
-
add: userPassword
userPassword: Qwerty123
Примените команду к каталогу:
ldapmodify -f ldif.txt -D 'cn=Directory Manager' -W -H ldap://wnam16-astra.astradom.wnam.ru -Z
Создайте пользователя wifiastra и задайте ему пароль (внимание: пригодные для работы хэши паролей будут храниться в каталоге только после применения ipa-adtrust-install, то есть для старых пользователей пароли придется пересоздать:
В веб-интерфейсе FreeIPA добавьте Роль "Radius server" службе wnam/wnam16-astra.astradom.wnam.ru :
2. Настройка WNAM
Зайдите в веб-интерфейс контроллера под учетной записью его администратора.
Для настройки подключения перейдите в WNAM в раздел "Конфигурация- Службы каталогов", и нажмите кнопку "Подключить новый домен FreeIPA"