SRV-HQ:
- Для интеграции Ideco NGFW Novum с FreeIPA необходимо на IPA-сервере создать роли:
- CIFS servers — предоставляет NGFW Novum права для аутентификации пользователей по протоколу Kerberos, выступая в роли доверенной службы
- Organization units — предоставляет NGFW Novum право на чтение структуры подразделений из каталога для корректного импорта пользователей и групп безопасности
echo "P@ssw0rd" | kinit admin@AU.TEAM- Для создания ролей CIFS servers иOrganization units:
ipa role-add "CIFS server" --desc="CIFS server" ipa role-add "Organization units" --desc="Organization units" ИЛИ через браузер на ADM-HQ
ADM-HQ:
- Переходим в веб-интерфейс Identity Manager в браузере на https://srv-hq.au.team и авторизуемся с учетными данными администратора
- Перейдём в IPA-сервер → Управление доступом на основе ролей и проверим, что созданные роли появились в списке:
- Необходимо войти в каждую роль и добавить объекты:
- Пользователи — выберите всех пользователей
- Группы пользователей — выберите все группы
- Узлы — выберите доменный узел
- Группы узлов — выберите все группы
- Необходимо перезагрузить сервер FreeIPA для активации новых прав
- Введём FW-HQ в домен FreeIPA
- перейдём в Сервисы → DNS → Внешние DNS-серверы
- и добавим IP-адрес устройства с установленной системой FreeIPA
- Результат:
- Для ввода FW-HQ в домен перейдём в Пользователи → Внешние каталоги → FreeIPA и нажмём на кнопку Добавить
-
- заполним поля
- Результат:
Если нет, проверяем доступность 10.1.1.10.
- Для импорта пользователей из домена FreeIPA на FW-HQ необходимо создать следующую требуемую структуру групп на уровне FW-HQ
- Результат:
- В каждую группу импортируем пользователей из одноимённых групп безопасности домена:
- Должно получиться
