В этой публикации я пошагово покажу, как выполняется настройка доверительных отношений между доменом ALD Pro и доменом Active Directory. О том, как выполняется установка ALD Pro я рассказывал в соответствующей статье. Конспект этой публикации я делал на основе вот этого модуля курса про ALD Pro.
Описание окружения
Описание состава серверов и общая архитектура решения приведена на схеме ниже.
Перечень серверов и технические требования к ним приведены в таблице ниже.
| Имя сервера | Описание | Кол-во ядер ЦПУ, шт. | Объем оперативной памяти, МБ |
| dc-1 | Первый контроллер домена ALD Pro | 2 | 4 |
| dc-2 | Второй контроллер домена ALD Pro | 2 | 4 |
| files-2 | Подсистема «Общий доступ к файлам» | 1 | 2 |
| mon-1 | Подсистема «Мониторинг» | 1 | 2 |
| cups-1 | Подсистема «Служба печати» | 1 | 2 |
| audit-1 | Подсистема «Аудит» | 1 | 2 |
| repo-1 | Подсистема «Репозиторий ПО» | 1 | 2 |
| pc-1 | Клиентское рабочее место Astra Linux | 1 | 2 |
| win-dc01 | Контроллер домена Active Directory | 2 | 4 |
| win-clt01 | Клиентское рабочее место Windows | 2 | 4 |
Используемые версии ПО
Версия Astra Linux – 1.7.6.
Версия ALD Pro – 2.4.0.
Редакция и версия Windows Server – Windows Server 2019 Standard.
Функциональный уровень домена – Windows Server 2016.
Функциональный уровень леса – Windows Server 2016.
Предварительная подготовка
В этом разделе я приведу перечень всех предварительных настроек, которые нужно выполнить непосредственно перед началом настройки доверительных отношений.
Если вы работаете на сервере ALD Pro не под учетной записью с правами администратора домена, то не забудьте предварительно запросить соответствующий билет Kerberos:
kinit admin@ALD.ITPROBLOG.RUНастройка разрешения имен
Устройства из домена Active Directory должны разрешать имена устройств из домена ALD Pro. И наоборот. Для этого в Active Directory в настройках DNS есть опция настройки серверов условной пересылки.
1. Быстрее всего добавить условное разрешение DNS имени в домене Active Directory можно вот таким командлетом:
Add-DnsServerConditionalForwarderZone -Name "ald.itproblog.ru" -ReplicationScope "Forest" -MasterServers 10.10.10.96,10.10.10.97Но здесь кроется первый подводный камень. Имя моего домена AD – itproblog.ru. Имя домена ALD Pro – ald.itproblog.ru. Мне не удалось создать сервер условной пересылки в AD на поддемен. При попытке создания генерировалась “непредвиденная ошибка”.
Если, как в моем случае, имя домена ALD Pro является поддоменом AD, то необходимо создать делегирование, как показано на рисунке ниже.
2. Далее настроим условную пересылку на стороне ALD Pro. Подключимся по SSH к одному из контроллеров домена и выполним соответствующую команду:
ipa dnsforwardzone-add itproblog.ru --forwarder=10.10.10.30 --forward-policy=only --skip-overlap-check3. Проверим разрешение имен домена ALD Pro со стороны Active Directory:
ping dc-1.ald.itproblog.ru
4. Проверим разрешение имен домена Active Directory со стороны ALD Pro:
ping -c4 win-dc01.itproblog.ru
Настройка доверительных отношений
Теперь, когда предварительная подготовка завершена можно переходить непосредственно к настройке доверительных отношений. Для этого выполним следующие шаги:
1. Запустим браузер и перейдем в веб интерфейс управления ALD Pro.
https://dc-1.ald.itproblog.ru/ad/ui/#/
2. Перейдем в раздел “Управление доменом” > “Интеграция с доменами” > “Доверительные отношения”. Затем нажмите на кнопку “Новое подключение”.
Перед выполнением следующего шага убедитесь, что пользователь, от имени которого выполняется операция, включен в группу “ald trust admin“.
3. Следующим шагом укажите параметры для подключения.
4. Нажмите на кнопку “Добавить”.
5. Дождитесь окончания процедуры настройки доверительных отношений между доменом ALD Pro и доменом Active Directory.
6. В случае успешного завершения процедуры настройки доверительных отношений должна отобразиться соответствующая сущность.
7. Также для проверки можно использовать команду:
ipa trust-find
8. Также соответствующая сущность должна отобразиться в оснастке доменов и доверия на стороне Active Directory, как показано на скриншоте ниже.
Проверка работоспособности доверительных отношений
Для проверки работы доверительных отношений можно использовать следующие команды:
1. На стороны ALD Pro:
ipa trustconfig-showДомен: ald.itproblog.ru
Идентификатор безопасности: S-1-5-21-2128191272-137762963-1142108996
Имя NetBIOS: ALD
GUID домена: b05431d3-c178-49ce-8286-07fce1382005
Резервная основная группа: Default SMB Group
Агенты отношений доверия AD IPA: dc-1.ald.itproblog.ru, dc-2.ald.itproblog.ru
Контролёры отношений доверия AD IPA: dc-1.ald.itproblog.ru, dc-2.ald.itproblog.ru
2. Проверить разрешение идентификаторов учетной записи из домена Active Directory через утилиту id:
id 'it\roman'uid=192201103(roman@itproblog.ru) gid=192201103(roman@itproblog.ru) группы=192201103(roman@itproblog.ru),192200519(enterprise admins@itproblog.ru),192200512(domain admins@itproblog.ru),192200518(schema admins@itproblog.ru),192200513(domain users@itproblog.ru)
Настройка глобального каталога
Сначала проверим – установлен ли сервис глобального каталога:
systemctl status ipa-gcsyncd.service
root@dc-1:/home/roman# systemctl status ipa-gcsyncd.service
● ipa-gcsyncd.service - Служба синхронизации Глобального каталога
Loaded: loaded (/lib/systemd/system/ipa-gcsyncd.service; disabled; vendor preset: enabled)
Active: active (running) since Fri 2025-02-21 22:35:01 +07; 55s ago
Main PID: 6126 (gcsyncd.py)
Tasks: 1 (limit: 4526)
Memory: 87.6M
CPU: 1.726s
CGroup: /system.slice/ipa-gcsyncd.service
└─6126 /opt/rbta/venvs/aldpro-common/bin/python /opt/gc/exec/gcsyncd.py
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=admin,cn=users,dc=ald,dc=itproblog,
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=admins,cn=users,dc=ald,dc=itproblog,dc=ru
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=editors,cn=users,dc=ald,dc=itproblog,dc=r
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=iivanov,cn=users,dc=ald,dc=itproblo
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=ppetrov,cn=users,dc=ald,dc=itproblo
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=asidorov,cn=users,dc=ald,dc=itprobl
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=vsidorova,cn=users,dc=ald,dc=itprob
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=testadmin,cn=users,dc=ald,dc=itprob
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=moscow-office-employee-it,cn=users,dc=ald
фев 21 22:35:18 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: ERROR: Ошибка соединения с DS. Следующая попытка соединения: 11Также проверим доступность сервиса синхронизации глобального каталога:
systemctl status ipa-gcsyncd.serviceroot@dc-1:/home/roman# systemctl status ipa-gcsyncd.service
● ipa-gcsyncd.service - Служба синхронизации Глобального каталога
Loaded: loaded (/lib/systemd/system/ipa-gcsyncd.service; disabled; vendor preset: enabled)
Active: active (running) since Fri 2025-02-21 22:35:01 +07; 16min ago
Main PID: 6126 (gcsyncd.py)
Tasks: 1 (limit: 4526)
Memory: 87.6M
CPU: 1.726s
CGroup: /system.slice/ipa-gcsyncd.service
└─6126 /opt/rbta/venvs/aldpro-common/bin/python /opt/gc/exec/gcsyncd.py
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=admin,cn=users,dc=ald,dc=itproblog,
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=admins,cn=users,dc=ald,dc=itproblog,dc=ru
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=editors,cn=users,dc=ald,dc=itproblog,dc=r
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=iivanov,cn=users,dc=ald,dc=itproblo
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=ppetrov,cn=users,dc=ald,dc=itproblo
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=asidorov,cn=users,dc=ald,dc=itprobl
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=vsidorova,cn=users,dc=ald,dc=itprob
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание пользователя: cn=testadmin,cn=users,dc=ald,dc=itprob
фев 21 22:35:03 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: INFO: Создание группы: cn=moscow-office-employee-it,cn=users,dc=ald
фев 21 22:35:18 dc-1.ald.itproblog.ru gcsyncd.py[6126]: ipa: ERROR: Ошибка соединения с DS. Следующая попытка соединения: 11
Как видно из скриншота и листинга выше, служба глобального каталога установлена.
Если служба глобального каталога не установлена, то необходимо её установить:
sudo aldpro-gc-install --gc-admin-pass 'Qwerty123' --gc-cert-file /etc/ssl/freeipa/server.p12 --gc-pin 'Qwerty123' --disable-fast-preauth -U
ipactl restartНастройка доверительных отношений между доменом ALD Pro и доменом Active Directory завершена.