Требуемые условия завершения
SRV-HQ:
- Для интеграции Ideco NGFW Novum с FreeIPA необходимо на IPA-сервере создать роли:
- CIFS servers - предоставляет NGFW Novum права для аутентификации пользователей по протоколу Kerberos, выступая в роли доверенной службы
- Organization units - предоставляет NGFW Novum право на чтение структуры подразделений из каталога для корректного импорта пользователей и групп безопасности
echo "P@ssw0rd" | kinit admin@AU.TEAM- Для создания роли CIFS servers:
ipa role-add "CIFS server" --desc="Role for CIFS server"- Для создания Organization units:
ipa role-add "Organization units" --desc="Role for Organization units"
ADM-HQ:
- Переходим в веб-интерфейс Identity Manager
- обратившись в браузере на https://srv-hq.au.team
- и авторизуемся с учетными данными администратора
- Перейдём в IPA-сервер → Управление доступом на основе ролей
- и убедимся, что созданные роли появилсь в списке:
.png)
- Необходимо войти в каждую роль и добавить объекты:
- Пользователи - выберите всех пользователей
- Группы пользователей - выберите все группы
- Узлы - выберите доменный узел
- Группы узлов - выберите все группы
.png)
.png)
- Необходимо перезагрузить сервер FreeIPA для активации новых прав
- Введём FW-HQ в домен FreeIPA
- перейдём в Сервисы → DNS → Внешние DNS-серверы
- и добавим IP-адрес устройства с установленной системой FreeIPA
.png)
.png)
- Результат:
.png)
- Для ввода FW-HQ в домен
- перейдём в Пользователи → Внешние каталоги → FreeIPA
- нажмём на кнопку Добавить
.png)
-
- заполним поля
.png)
- Результат:
.png)
- Для импорта пользователей из домена FreeIPA на FW-HQ
- необходимо создать следующую требуемую структуру групп на уровне FW-HQ
.png)
.png)
.png)
.png)
- Результат:
.png)
- В каждую группу импортируем пользователей из одноимённых групп безопасности домена:
.png)
- Аналогичным образом для групп br и cod
- ожидаемый результат
.png)
Последнее изменение: вторник, 17 марта 2026, 14:27