Блог

Главная - Вопросы по программированию - Не работает FreeIPA для доверия Active Directory: ошибка отказа в доступе

Не работает FreeIPA для доверия Active Directory: ошибка отказа в доступе

#active-directory #trust #freeipa

#active-directory #доверие #freeipa

Вопрос:

Когда я пытаюсь добавить доверие из FreeIPA в Active Directory, я получаю сообщение об ошибке «отказано в доступе»:

 [root@ipa centos]# ipa trust-add --type=ad test.XXXXX.com --admin Admin -- 
password
Active Directory domain administrator's password:

ipa: ОШИБКА: ошибка связи с сервером CIFS: код «3221225506», сообщение «{Отказано в доступе} Процесс запросил доступ к объекту, но не получил эти права доступа». (оба могут быть «Нет»)

Мой Active Directory — это управляемая AWS AD, а администратор — пользователь по умолчанию для AWS managed AD.

Я думаю Admin , что у пользователя нет разрешения на доверие AD.

Но я попытался предоставить права администратора в AD для пользователя admin, но там написано «Недостаточно привилегий».

Я застрял. Кто-нибудь может мне помочь?

Спасибо

Ответ №1:

AWS AD не позволяет установить доверие так, как это реализует FreeIPA. AWS AD ожидает, что вы используете общий секрет с обеих сторон доверия, а затем проверяет его со стороны AWS AD. В настоящее время это не работает для выпущенной версии FreeIPA.

Исправление уже находится в восходящем потоке FreeIPA, но для его выпуска и распространения потребуется некоторое время.

Комментарии:

1. Спасибо за ответ. Означает ли это, что я не могу установить доверие между FreeIPA и AWS Managed AD сейчас? Я использую версию FreeIPA 4.6.4. Я могу установить доверие между FreeIPA и AWS Simple AD. Но участники Kerberos не создаются для моих пользователей в Active Directory

2. Пока нет. Simple AD — это Samba AD на стороне AWS, и вам также нужны исправления, которые находятся выше по потоку, но не в выпущенной версии.

3. Спасибо за ваш вклад.

4. Я могу создать одностороннее доверие между FreeIPA и AWS Simple AD, следуя процессу, приведенному ниже ссылка freeipa.org/page/Active_Directory_trust_setup Я могу получить пользователей AD на сервере FreeIPA, но клиент FreeIPA по-прежнему не может видеть пользователя AD. Я имею в виду, что я не могу кинить ad-user@AD-domain в клиенте FreeIPA.

5. Получение ошибки, подобной kinit: не удается связаться с любым KDC для пользователя realm @XXXXXXXXXXXX