Настройка двустороннего траста между FreeIPA и Active Directory в 2026: пошаговая инструкция | AdminWiki
Logo
Timeweb Cloud — сервера, Kubernetes, S3, Terraform. Лучшие цены IaaS.
Попробовать

Настройка двустороннего траста между FreeIPA и Active Directory в 2026: пошаговая инструкция

13 мая 2026 10 мин. чтения
Содержание статьи

Интеграция FreeIPA и Active Directory через доверительные отношения Kerberos решает задачу кроссплатформенной аутентификации. Это руководство предоставляет проверенную инструкцию по настройке двустороннего или одностороннего траста, актуальную для 2026 года. Вы получите готовые команды для FreeIPA, конфигурации для SSSD и методы диагностики частых проблем.

Настройка траста позволяет пользователям из домена Microsoft Active Directory входить в системы под управлением FreeIPA и наоборот. Это создает единое пространство идентификации для гибридной инфраструктуры без миграции учетных записей. Инструкция построена на практическом опыте и учитывает изменения в политиках безопасности Kerberos, характерные для современных версий ПО.

Подготовка инфраструктуры: что проверить перед настройкой траста

Успех настройки доверия между FreeIPA и Active Directory зависит от корректности базовых служб. Пропуск этого этапа приводит к ошибкам, которые сложно диагностировать на поздних стадиях.

Проверка синхронизации времени и DNS-разрешения

Kerberos критически чувствителен к расхождению времени между серверами. Максимально допустимый skew (расхождение) обычно составляет 5 минут. Проверьте синхронизацию на сервере FreeIPA и контроллере домена AD.

# На сервере FreeIPA
chronyc sources
ntpdate -q dc.ad.example.com

# На контроллере AD (из PowerShell)
w32tm /query /status

Двустороннее разрешение имён обязательно. Каждый сервер должен иметь A-запись и корректную обратную PTR-запись. Проверьте это с обоих сторон.

# С FreeIPA проверяем AD
nslookup dc.ad.example.com
dig -x 

# С AD проверяем FreeIPA (используйте nslookup в командной строке Windows)
nslookup ipa.example.com

В зоне DNS домена AD должны быть созданы SRV-записи для служб Kerberos и LDAP. FreeIPA создает их автоматически. Убедитесь, что они существуют.

dig _kerberos._tcp.ipa.example.com SRV
dig _ldap._tcp.ipa.example.com SRV

Если прямой запрос между зонами невозможен, настройте conditional forwarders. В DNS-сервере Windows добавьте условную пересылку для зоны ipa.example.com на IP-адрес сервера FreeIPA. На стороне FreeIPA (если используется BIND) настройте пересылку для зоны ad.example.com на IP-адрес контроллера домена.

Требования к версиям ПО и обновлениям на 2026 год

Для стабильной работы траста требуются современные версии, поддерживающие актуальные алгоритмы шифрования Kerberos.

КомпонентРекомендуемая версия (2026)Критически важные особенности
FreeIPA (IdM)4.11+ (на RHEL 9.5+, Rocky Linux 9.5+, AlmaLinux 9.5+)Поддержка AES256-SHA2 для Kerberos по умолчанию. Стабильная работа trust-ad с Samba 4.18+.
Active DirectoryWindows Server 2022 или новее (Windows Server 2025)Поддержка шифрования AES256. Включенный протокол LDAP over SSL (LDAPS).
Клиенты (SSSD)sssd-2.10+Корректная работа с id_mapping и fully qualified names для trust.

Проверьте, что между серверами открыты необходимые порты через firewall.

  • Kerberos: TCP/UDP 88
  • LDAP: TCP 389
  • LDAPS: TCP 636
  • Global Catalog: TCP 3268 (для трастов с лесами AD)
  • DNS: TCP/UDP 53

На сервере FreeIPA вам потребуются права администратора (root или пользователь с ролью `trust admins`). В Active Directory необходимы права для создания доверительных отношений домена (обычно членство в группе `Domain Admins`).

Архитектура доверия: двусторонний vs односторонний траст

Доверие между FreeIPA и AD строится на протоколе Kerberos. FreeIPA эмулирует поведение домена Windows, создавая специальную учетную запись (trust account) в AD и используя общий секрет для аутентификации.

Как работает кроссплатформенная аутентификация через Kerberos

Когда пользователь из домена AD пытается получить доступ к ресурсу в домене FreeIPA, происходит следующая последовательность.

  1. Пользователь входит в систему, присоединенную к AD, и получает Ticket-Granting Ticket (TGT) от контроллера домена AD.
  2. При попытке доступа к серверу в домене FreeIPA клиент запрашивает билет на службу (Service Ticket).
  3. Контроллер домена AD, видя, что служба находится в другом домене (realm), проверяет наличие доверительного отношения.
  4. Если траст существует, AD выдает междоменный TGT (Referral Ticket) для realm FreeIPA.
  5. Клиент предъявляет этот TGT серверу KDC FreeIPA и получает Service Ticket для целевой службы.

Этот процесс позволяет прозрачную аутентификацию без повторного ввода пароля. На стороне FreeIPA для сопоставления учетной записи AD с локальным идентификатором используется механизм ID mapping на основе SID (Security Identifier).

Выбор типа траста под вашу задачу

Решение зависит от бизнес-требований к потоку аутентификации.

  • Односторонний траст (входящий в FreeIPA): Пользователи домена AD могут аутентифицироваться в ресурсах домена FreeIPA. Обратное не работает. Сценарий: разработчики с учетками в AD получают доступ к Linux-серверам, управляемым FreeIPA.
  • Двусторонний траст: Пользователи из обоих доменов могут аутентифицироваться в ресурсах другого домена. Сценарий: полная интеграция гибридной среды, где часть сервисов работает в AD, часть - в FreeIPA.

Ответьте на вопросы для выбора.

  • Нужен ли доступ пользователям FreeIPA к ресурсам AD (например, общим папкам на Windows-серверах)? Если да - нужен двусторонний траст.
  • Достаточно ли сценария, где только пользователи AD заходят на Linux-хосты? Если да - достаточно одностороннего.
  • Планируется ли централизованное управление доступом с одной консоли? Доверие не предоставляет единой консоли управления, только аутентификацию.

Двусторонний траст проще в настройке, но расширяет поверхность атаки. Односторонний траст безопаснее, но ограничивает функциональность. В этом руководстве мы настроим двусторонний траст, так как это наиболее распространенный запрос. Шаги для одностороннего траста аналогичны, но пропускают создание обратного отношения на стороне AD.

Пошаговая настройка двустороннего доверия (практическая часть)

Инструкция предполагает, что у вас работают домены: FreeIPA (`ipa.example.com`) и Active Directory (`ad.example.com`).

Настройка на стороне FreeIPA: команда ipa trust-add

Вся настройка со стороны FreeIPA выполняется одной командой. Предварительно убедитесь, что пакет `ipa-server-trust-ad` установлен.

# На сервере FreeIPA выполните
ipa trust-add ad.example.com --type=ad --range-type=ipa-ad-trust --base-id=200000 --sid=S-1-5-21-123456789-1234567890-123456789 --admin Administrator

Разберем ключевые параметры.

  • ad.example.com - DNS-имя домена Active Directory.
  • --type=ad - указывает тип доверия как Active Directory.
  • --range-type=ipa-ad-trust - задает тип диапазона ID для сопоставления.
  • --base-id=200000 - начальное значение для автоматической генерации UID/GID для пользователей и групп из AD. Выберите значение, не пересекающееся с локальными диапазонами.
  • --sid=S-1-5-21-... - SID домена AD. Его можно получить на контроллере домена командой Get-ADDomain | select DomainSID в PowerShell.
  • --admin Administrator - учетная запись администратора домена AD с правами на создание доверия.

После запуска команды вас запросят пароль указанного администратора AD. FreeIPA создаст в AD компьютерную учетную запись с именем, похожим на `IPA$@AD.EXAMPLE.COM`, которая и будет trust account.

Настройка на стороне Active Directory

После выполнения команды на FreeIPA доверие находится в состоянии `Initialized`. Его нужно подтвердить в оснастке Windows.

  1. Откройте «Администрирование» → «Доверительные отношения доменов».
  2. На вкладке «Доверенные домены» вы увидите домен `ipa.example.com` с типом «Не подтверждено».
  3. Нажмите «Свойства», затем «Проверить». Введите пароль администратора домена FreeIPA.
  4. Выберите тип аутентификации. Forest-wide authentication разрешает аутентификацию всем пользователям доверенного домена. Selective authentication требует ручного назначения разрешения «Allowed to authenticate» для каждого ресурса. Для начала выберите Forest-wide.
  5. Нажмите «ОК». Состояние изменится на «Подтверждено».

Теперь создайте исходящее доверие. В той же оснастке нажмите «Создать доверие», выберите «Исходящее доверие». Введите имя домена FreeIPA (`ipa.example.com`). На этапе «Тип доверия» выберите «Область леса». На этапе «Проверка подлинности» выберите «Сквозная проверка подлинности для всего леса». Введите пароль администратора FreeIPA при запросе.

Первичная проверка: получаем Kerberos-билет из другого домена

Убедитесь, что траст активен, получив TGT для пользователя из доверенного домена.

# На любом хосте, входящем в домен FreeIPA, выполните
kinit user@AD.EXAMPLE.COM
Введите пароль пользователя домена AD.

# Проверьте список билетов
klist

# Вы должны увидеть билет, выданный KDC домена AD
Ticket cache: KEYRING:persistent:0:0
Default principal: user@AD.EXAMPLE.COM

Valid starting       Expires              Service principal
13.05.2026 10:00:00  13.05.2026 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM

Также проверьте статус траста из FreeIPA.

ipa trust-show ad.example.com

Статус должен быть `active`. Для получения информации о доменах используйте команду синхронизации.

ipa trust-fetch-dom ad.example.com

Для более глубокой интеграции Linux-систем с AD, включая управление доступом, может потребоваться расширенная настройка централизованной аутентификации через SSSD.

Синхронизация пользователей и групп: настройка SSSD и ID mapping

Доверие установлено, но для аутентификации на клиентских хостах FreeIPA нужна правильная конфигурация SSSD.

Конфигурационный файл sssd.conf для работы с трастом

На клиентском хосте, присоединенном к домену FreeIPA, отредактируйте файл `/etc/sssd/sssd.conf`. Добавьте домен AD в список доменов и настройте его секцию.

[sssd]
domains = ipa.example.com, ad.example.com
services = nss, pam

[domain/ipa.example.com]
id_provider = ipa
auth_provider = ipa
access_provider = ipa

[domain/ad.example.com]
enumerate = false
cache_credentials = true
id_provider = ldap
auth_provider = krb5
chpass_provider = none
access_provider = simple

ldap_schema = ad
ldap_uri = ldap://dc.ad.example.com
ldap_search_base = dc=ad,dc=example,dc=com
ldap_default_bind_dn = CN=ipa trust,CN=Users,DC=ad,DC=example,DC=com # Пример, используйте реальную учетную запись
ldap_default_authtok_type = password
ldap_default_authtok = <пароль_учетной_записи>

krb5_realm = AD.EXAMPLE.COM
krb5_server = dc.ad.example.com

ldap_id_mapping = true
ldap_idmap_range_min = 200000
ldap_idmap_range_max = 2000200000
ldap_idmap_range_size = 200000

use_fully_qualified_names = true

Ключевые параметры.

  • enumerate = false - отключает перечисление всех пользователей при входе, ускоряя работу. Для поиска используйте `getent`.
  • ldap_id_mapping = true - включает автоматическое сопоставление SID из AD в UID/GID на основе указанного диапазона.
  • use_fully_qualified_names = true - требует указывать имя пользователя с суффиксом домена (`user@ad.example.com`). Если установить `false`, потребуется дополнительная настройка `domain_resolution_order`.

Перезапустите службу SSSD.

systemctl restart sssd

Как проверить, что пользователи AD доступны для аутентификации

После настройки SSSD проверьте доступность учетных записей.

# Поиск пользователя
getent passwd username@ad.example.com
# Должна вернуться строка вида:
# username@ad.example.com:*:200001:200001:User Name:/home/username@ad.example.com:/bin/bash

# Проверка членства в группах
id username@ad.example.com

# Попытка аутентификации через su (на том же хосте)
su - username@ad.example.com

Для полноценной работы может потребоваться создать домашние директории. Это можно автоматизировать через PAM-модуль `pam_oddjob_mkhomedir`. Убедитесь, что в файле `/etc/pam.d/system-auth` есть строка.

session     required      pam_mkhomedir.so skel=/etc/skel/ umask=0022

Если вы планируете внедрять дополнительные уровни безопасности, изучите руководство по настройке обязательной двухфакторной аутентификации, которое можно комбинировать с данной конфигурацией.

Диагностика и решение типичных проблем

Большинство ошибок связано с базовыми службами или неверными параметрами команд.

Анализ логов: где и что искать

Логи - первый источник информации при проблемах.

  • FreeIPA (KDC и процесс доверия): `/var/log/krb5kdc.log`, `/var/log/kadmind.log`, `/var/log/ipa/trust.log`.
  • SSSD: `/var/log/sssd/` - файлы `sssd_ad.example.com.log`, `sssd_ipa.example.com.log`, `sssd.log`. Увеличьте уровень детализации в `sssd.conf`, добавив `debug_level = 9` в секцию `[domain/ad.example.com]` для диагностики.
  • Active Directory: Журналы событий Windows. Ищите события с источником `Kerberos`, `LDAP-Client` или `NetLogon` в журналах «Безопасность» и «Система».

Типичные сообщения об ошибках.

  • В логах KDC FreeIPA: `PREAUTH_FAILED` - проблема с паролем trust account или синхронизацией времени.
  • В логах SSSD: `Client not found in Kerberos database` - ошибка разрешения имени или проблема с трастом.
  • В событиях Windows: `Event ID 40960` - ошибка установления безопасного канала с доверенным доменом.

Проблемы с DNS и временем - самые частые причины сбоев

Повторно проверьте базовые настройки, если траст не работает.

Проблема: Ошибка «Cannot find KDC for realm AD.EXAMPLE.COM» при выполнении `kinit`.

Решение: Убедитесь, что SRV-записи `_kerberos._tcp.ad.example.com` и `_kerberos._udp.ad.example.com` разрешаются с сервера FreeIPA. Проверьте firewall между серверами. Временное решение - явно указать KDC в файле `/etc/krb5.conf` на клиенте.

Проблема: Ошибка «Clock skew too great».

Решение: Проверьте и синхронизируйте время на всех серверах. Убедитесь, что служба времени (chronyd или ntpd) работает и использует надежные источники.

# На FreeIPA
chronyc tracking
# На AD
w32tm /query /configuration

Проблема: Аутентификация проходит (`kinit` работает), но `getent passwd` не находит пользователя.

Решение: Это указывает на проблему в SSSD или LD-поиске. Проверьте корректность `ldap_uri` и доступность контроллера домена по порту 389. Убедитесь, что параметры `ldap_id_mapping` и `use_fully_qualified_names` соответствуют вашей схеме использования. Проверьте логи SSSD с увеличенным уровнем отладки.

Для интеграции подобных систем аутентификации с сетевыми хранилищами может быть полезно наше сравнение интеграции TrueNAS с Active Directory и FreeIPA, где также разбираются типичные ошибки.

Безопасность и ограничения траста между FreeIPA и AD

Доверительные отношения расширяют поверхность атаки. Понимание ограничений помогает планировать архитектуру безопасности.

Selective Authentication vs Forest-Wide Authentication

При создании траста в AD вы выбирали тип аутентификации. Forest-Wide Authentication разрешает аутентификацию всем пользователям доверенного домена по умолчанию. Selective Authentication - более безопасный вариант, требующий явного назначения права «Allowed to authenticate» на каждом компьютерном объекте в AD, к которому нужен доступ пользователям из FreeIPA.

Чтобы включить Selective Authentication, выберите этот параметр при создании или изменении доверия в оснастке AD. После этого для каждого сервера или ресурса, куда должны входить пользователи FreeIPA, нужно вручную разрешить аутентификацию.

  1. В «Административных средствах» откройте «Пользователи и компьютеры Active Directory».
  2. Перейдите на вкладку «Безопасность» свойств компьютера (например, файлового сервера).
  3. Нажмите «Дополнительно», затем «Добавить». Выберите группу или пользователя из доверенного домена FreeIPA (например, `DOMAIN\group1`).
  4. В окне «Запись разрешения» выберите «Разрешить» для права «Allowed to authenticate».

Этот подход реализует принцип наименьших привилегий, но требует больше администрирования.

Что не будет работать после настройки траста

Доверие Kerberos обеспечивает только аутентификацию. Оно не создает полной интеграции управления.

  • Централизованное управление паролями: Пользователи AD не могут менять пароли через интерфейс FreeIPA. Политики паролей AD и FreeIPA остаются независимыми.
  • Единая консоль управления: Не существует единой панели для управления пользователями из обоих доменов. Пользователей AD нужно администрировать из оснастки Windows, пользователей FreeIPA - из веб-интерфейса или CLI FreeIPA.
  • Групповые политики (GPO): Политики Active Directory не применяются к хостам, входящим в домен FreeIPA. Для управления политиками Linux-хостов используйте инструменты FreeIPA (например, HBAC-правила, sudo-правила).
  • Глубокая синхронизация атрибутов: Атрибуты пользователей (телефон, должность) не синхронизируются автоматически. Синхронизируются только базовые данные, необходимые для аутентификации (имя, SID, primary group). Для синхронизации атрибутов потребуются отдельные инструменты, например, интеграция с Keycloak или скрипты на основе LDAP.
  • Делегирование администрирования: Администраторы FreeIPA не получают прав на управление объектами в AD и наоборот.

Рекомендуется защитить канал связи между доменами. Рассмотрите возможность настройки IPsec-туннеля или использования LDAPS (LDAP over SSL) для всех LD-запросов, указав в `sssd.conf` параметр `ldap_uri = ldaps://dc.ad.example.com`. Убедитесь, что сертификат ЦС AD доверен на хостах FreeIPA.

Для безопасного доступа к сетевым ресурсам, таким как общие папки, после настройки траста может потребоваться тонкая настройка Kerberos-аутентификации для служб вроде SMB.

Настройка доверия - мощный инструмент для гибридных сред. Для автоматизации рутинных задач администрирования и доступа к современным API-сервисам рассмотрите использование агрегатора AiTunnel, который предоставляет единый интерфейс для работы с более чем 200 моделями ИИ, включая GPT и Claude, с оплатой в рублях и без необходимости VPN.

Поделиться:
Сохранить гайд? В закладки браузера