Доверие FreeIPA к Active Directory не работает: ошибка отказа в доступе

Когда я пытаюсь добавить доверие от FreeIPA к Active Directory, я получаю сообщение об ошибке «Доступ запрещен»:

[root@ipa centos]# ipa trust-add --type=ad test.XXXXX.com --admin Admin -- 
password
Active Directory domain administrator's password:

ipa: ОШИБКА: ошибка связи с сервером CIFS: код «3221225506», сообщение «{Доступ запрещен} Процесс запросил доступ к объекту, но ему не были предоставлены эти права доступа». (оба могут быть «Нет»)

Моя Active Directory - это управляемая AWS AD, а администратор - это пользователь по умолчанию для управляемой AWS AD.

Я думаю, что Admin пользователь не имеет разрешения на доверие AD.

Но я попытался предоставить права администратора в AD для пользователя с правами администратора, но он говорит: «Недостаточно прав».

Я застрял. Может кто-нибудь мне помочь?

Спасибо


active-directory trust freeipa
person rahul    schedule 11.04.2019    source источник

Ответы (1)


arrow_upward
1
arrow_downward

AWS AD не позволяет установить доверие так, как его реализует FreeIPA. AWS AD ожидает, что вы используете общий секрет на обеих сторонах доверия, а затем проверяет его на стороне AWS AD. В настоящее время это не работает для выпущенной версии FreeIPA.

Исправление уже находится в основной ветке разработки FreeIPA, но его выпуск и распространение в дистрибутивы займет некоторое время.

person abbra    schedule 14.04.2019
comment
Спасибо за ответ. Означает ли это, что сейчас я не могу установить доверительные отношения между FreeIPA и AWS Managed AD? Я использую версию FreeIPA 4.6.4. Мне удалось установить доверительные отношения между FreeIPA и AWS Simple AD. Но принципы Kerberos не создаются для моих пользователей в Active Directory. - person rahul; 18.04.2019
comment
Еще нет. Simple AD - это Samba AD на стороне AWS, и вам также нужны исправления, которые находятся в апстриме, но не в выпущенной версии. - person abbra; 18.04.2019
comment
Спасибо за ваш вклад. - person rahul; 18.04.2019
comment
Я могу создать одностороннее доверие между FreeIPA и AWS Simple AD, следуя процессу, описанному ниже по ссылке freeipa. org / page / Active_Directory_trust_setup Я могу получить пользователей AD на сервере FreeIPA, но клиент FreeIPA по-прежнему не может видеть пользователя AD. Я имею в виду, что я не могу Kinit ad-user @ AD-domain в клиенте FreeIPA. - person rahul; 10.05.2019
comment
Получение ошибки, например kinit: невозможно связаться с любым KDC для пользователя области @ XXXXXXXXXXXX - person rahul; 10.05.2019