CLI: установить astra-freeipa-client
sudo apt-get update && sudo apt install install fly-admin-freeipa-client -y
Открыть окно настройки клиента FreeIPA: Sudo fly-admin-freeipa-client
Домен: hq.work
Логин: admin
Пароль: P@ssw0rd
Нажать «Подключиться»
По завершении успешного подключения в статусе будет сообщение:
Обнаружен настроенный клиент в домене hq.work
BR-SRV:
Sudo nano /etc/resolv.conf
Nameserver 172.16.100.50
Nameserver 8.8.8.8
Sudo apt install astra-freeipa-client
sudo astra-freeipa-client -d hq.work «продолжать ? (y\n)» ввести «y», нажать Enter. «Введите пароль администратора домена» - ввести пароль пользователя admin: P@ssw0rd.
b. Организуйте отслеживание подключения к домену
По умолчанию, во FreeIPA, для уменьшения нагрузки на серверы, отключено
отслеживание последней успешной аутентификации пользовательских аккаунтов. Здесь описано, как выключить и вновь включить плагин, отвечающие за эту опцию.
BR-SRV и CLI:
Попробуем подключиться к созданным пользователям :
Аутентификация в качестве пользователя
su <имя пользователя>
Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.
1 способ CLI:
На странице freeipa-serverа в браузере
IPA Server — Конфигурация — Password plugin features:
☑ KDC
isable Last Success - отключить плагин
2 способ HQ-SRV:
На каждом сервере FreeIPA смотрим текущие применяемые password-плагины:
sudo ipa config-show | grep "Password plugin features"
Password plugin features: AllowNThash, KDC
isable Last Success
Отключаем плагин блокирующий трэкинг последней успешной аутентификации, оставляя прочие плагины включёнными:
sudo ipa config-mod --ipaconfigstring='AllowNThash'
Если нагрузка на сервер превысила его ресурсы, то вновь отключаем трэкинг последней успешной аутентификации:
sudo ipa config-mod --ipaconfigstring='AllowNThash' --ipaconfigstring='KDC
isable Last Success'
Перезапустите IdM:
sudo ipactl restart
Посмотреть дата/время последней успешной аутентификации:
sudo ipa user-status <имя пользователя>
[Ответ]
