Настройка доверенных отношений между двумя доменами Avanpost DS

ВНИМАНИЕ:

В инструкции приведены команды для трех операционных систем: REDOSASTRAALT

Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех трех ОС. Необходимо выполнять команды только для используемой вами ОС.

Для настройки доверительных отношений между двумя доменами Avanpost DS требуется подготовить как минимум одну рабочую станцию в домене на одной из поддерживаемых ОС: REDOSASTRAALT

Для настройки необходимо выполнить шаги:

Шаг 1. В настройках рекурсивного DNS сервера указать доверенную зону DNS для каждого контроллера домена.

Для этого требуется добавить строку с доверенной зоной в конфигурационный файл "recursor.conf" для каждого контроллера домена в обоих доменах.

  1. Если включено автоматическое управление конфигурацией, для добавления строки требуется:
    1. Нажать в правом верхнем углу раздела "DNS" веб-интерфейса администратора.
    2. Добавить строку в секцию "Настройки рекурсивного DNS сервера (recursor.conf)" по шаблону:
      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]
    3. Нажать .
  2. Если автоматическое управление конфигурацией отключено, для добавления строки требуется на каждом контроллере домена добавить строку в конфигурационный файл вручную. Для этого необходимо:

    1. Открыть для редактирования конфигурационный файл "recursor.conf".

      RedOS
      sudo nano /etc/pdns-recursor/recursor.conf
      Astra
      sudo nano /etc/powerdns/recursor.conf
      Alt
      sudo nano /etc/pdns-recursor/recursor.conf

    2. Добавить строку в конфигурационный файл "recursor.conf" по шаблону:

      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]
    3. Перезапустить сервис "pdns-recursor" с помощью команды:
      sudo systemctl restart pdns-recursor
Пример заполненного recursor.conf для домена avanpost.local
forward-zones=avanpost.local=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300
forward-zones+=avanpost.test=192.168.1.20
local-address=0.0.0.0:53
serve-rfc1918=no
dnssec=off # No RRSIG, current state is Bogus
Пример заполненного recursor.conf для домена avanpost.test
forward-zones=avanpost.test=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300
forward-zones+=avanpost.local=192.168.1.11
local-address=0.0.0.0:53
serve-rfc1918=no
dnssec=off # No RRSIG, current state is Bogus

Шаг 2. В каждом домене создать учетную запись с правами администратора.

Для этого требуется добавить учетную запись в группу "Administrators" в каждом домене.

Примечание:

Подробнее о создании и управлении учетными записями см. статью "6.2. Управление Пользователями" руководства по администрированию Avanpost DS. 

Шаг 3. Создать новые доверительные отношения для каждого домена.

Для этого требуется:

  1. Нажать в разделе "Доверительные отношения" веб-интерфейса администратора Avanpost DS.
  2. В открывшейся форме заполнить поля:
    ПолеЗначение
    ТипВыбрать из выпадающего списка значение "DS".
    НаправлениеВыбрать из выпадающего списка значение "BIDIRECTIONAL".
    Домен

    Указать название доверенного домена в верхнем регистре. 

    Системный аккаунт для LDAP-запросовУказать имя пользователя с правами администратора из доверенного домена.
    Пароль системного аккаунтаУказать пароль от указанной учетной записи с правами администратора из доверенного домена.
    Пароль для создания доверительных отношений

    Указать произвольный пароль для создаваемых доверительных отношений.

    Внимание!

    При настройке доверительных отношений на обоих доменах пароль для создания доверительных отношений должен совпадать.

  3. Нажать.
  4. Повторить действия 1-3 для второго домена.


Рисунок — Пример создания доверительных отношений в домене avanpost.test


Рисунок — Пример создания доверительных отношений в домене avanpost.local

Шаг 4. Проверить создание доверительных отношений.

Для этого требуется:

  1. Проверить наличие записи доверительных отношений в разделе "Доверительные отношения" веб-интерфейса администратора Avanpost DS в обоих доменах.



    Рисунок — пример записи доверительных отношений в домене avanpost.test


    Рисунок — Пример записи доверительных отношений в домене avanpost.local

  2. На рабочей станции в домене проверить резолв DNS записей доверенного домена. Для этого необходимо выполнить команду по шаблону:
    Шаблон команды
    dig [FQDN КД из доверенного домена]
    Пример команды
    dig ds01.avanpost.local

;; ANSWER SECTION:
ds01.avanpost.local.    339     IN      A       192.168.1.11
    Пример команды
    dig ds01.avanpost.test

;; ANSWER SECTION:
ds01.avanpost.test.     1500    IN      A       192.168.1.20

Шаг 5. Проверить работу доверительных отношений.

Для этого требуется на рабочей станции, введенной в домен, авторизоваться под пользователем из доверенного домена с помощью команды:

Шаблон команды
su - [Имя пользователя]
Пример команды
su - admin1


Рисунок — Пример успешной авторизации

Обсуждение