HQ-SRV: Создаём директории для общих папок: Sudo mkdir /opt/{branch,network,admin} Задаём права на созданные директории: Sudo chmod 777 /opt/{branch,network,admin} Задать владельцев на созданные папки соответствующих названию доменных пользователей: sudo chown admin:admin /opt/admin sudo chown branch_admin: branch_admin /opt/ branch sudo chown network_admin: network_admin /opt/ branch Если при инициализации сервера (реплики) FreeIPA не была применена опция установки и настройки samba, то это можно сделать после инициализации: Получить для суперпользователя билет Kerberos администратора домена: sudo kinit admin Ввести пароль от пользователя домена admin -P@ssw0rd Действуя с правами суперпользователя выполнить установку: sudo ipa-adtrust-install --add-sids --add-agents Зайти в конфигурационный файл samba sudo nano /etc/samba/smb.conf заменить "config backend = registry" на "include = registry". Cоздать общие папки: Branch_Files, Network, Admin_Files в виде тестовых файлов: sudo nano Branch_Files.txt path = /opt/branch writable = yes read only = no valid users = branch_admin sudo nano Network.txt path = /opt/network writable = yes read only = no valid users = network _admin sudo nano Admin_Files.txt path = /opt/admin writable = yes read only = no valid users = admin Импортировать созданные описания ресурсов в конфигурацию samba: sudo net conf import share.txt share BR-SRV: nano /etc/resolv.conf добавить Nameserver 8.8.8.8 Так как общие ресурсы реализованы, через smb (CIFS) - установим пакет cifs-utils: sudo apt install cifs-utils Устанавливаем pam_mount: sudo apt install libpam-mount Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml: sudo nano /etc/security/pam_mount.conf.xml В строках path="" — имя файлового ресурса; server="hq-srv.hopin.sa" — имя сервера с ресурсом; mountpoint="/mnt/All_files" — путь монтирования. Проверка: Зайти из под пользователей admin, branch_admin,network_admin и ввести команду: Df – будет выведен список примонтированных папок. В случае правильной настройки среди примонтированных папок для пользователя branch_admin будет ресурс: Для других пользователей network_admin и admin должен быть перемонтирован соответствующий ресурс. Для администратора, у меня это user, ничего не должно отображаться:

CLI: установить astra-freeipa-client sudo apt-get update && sudo apt install install fly-admin-freeipa-client -y Открыть окно настройки клиента FreeIPA: Sudo fly-admin-freeipa-client Домен: hq.work Логин: admin Пароль: P@ssw0rd Нажать «Подключиться» По завершении успешного подключения в статусе будет сообщение: Обнаружен настроенный клиент в домене hq.work BR-SRV: Sudo nano /etc/resolv.conf Nameserver 172.16.100.50 Nameserver 8.8.8.8 Sudo apt install astra-freeipa-client sudo astra-freeipa-client -d hq.work «продолжать ? (y\n)» ввести «y», нажать Enter. «Введите пароль администратора домена» - ввести пароль пользователя admin: P@ssw0rd. b. Организуйте отслеживание подключения к домену По умолчанию, во FreeIPA, для уменьшения нагрузки на серверы, отключено отслеживание последней успешной аутентификации пользовательских аккаунтов. Здесь описано, как выключить и вновь включить плагин, отвечающие за эту опцию. BR-SRV и CLI: Попробуем подключиться к созданным пользователям : Аутентификация в качестве пользователя su <имя пользователя> Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно. 1 способ CLI: На странице freeipa-serverа в браузере IPA Server — Конфигурация — Password plugin features: ☑ KDC:Disable Last Success - отключить плагин 2 способ HQ-SRV: На каждом сервере FreeIPA смотрим текущие применяемые password-плагины: sudo ipa config-show | grep "Password plugin features" Password plugin features: AllowNThash, KDC:Disable Last Success Отключаем плагин блокирующий трэкинг последней успешной аутентификации, оставляя прочие плагины включёнными: sudo ipa config-mod --ipaconfigstring='AllowNThash' Если нагрузка на сервер превысила его ресурсы, то вновь отключаем трэкинг последней успешной аутентификации: sudo ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDC:Disable Last Success' Перезапустите IdM: sudo ipactl restart Посмотреть дата/время последней успешной аутентификации: sudo ipa user-status <имя пользователя>