Внимание! Эта заметка показала одну особенность и придется переделывать IPA-стенд. Вернемся к вопросу чуть позже.

Продолжаю цикл заметок по администрированию Red OS в корпоративной среде и сегодня мы рассмотрим настройку интеграции IPA-домена RED OS и Windows Active Directory. За основу возьмем уже настроенное тестовое окружение.

Текущее тестовое окружение

Сервера RedOS:

• srv-rain-redos-01 — 10.213.7.2 (RedOS рабочая станция — центр управления)
• srv-rain-redos-02 — 10.213.7.4 (Основной контроллер домена)
• srv-rain-redos-02 — 10.213.7.5 (Резервный контроллер домена)

Домен — ipa.sngp.com

Сервера Windows:

• srv-rain-win-01 — 10.213.7.3 (Основной контроллер домена)

Подготовка контроллера домена IPA

В файле /etc/named/ipa-options-ext.conf отключаем проверку dns-sec для чего меняем параметр.

dnssec-validation no;

и перезапускаем сервис.

# systemctl restart ipa

Добавляем в hosts адрес Windows контроллера домена.

10.213.7.3 srv-rain-win-01 srv-rain-win-01.sngp.com

Проверяем, что у нас настроена синхронизация времени по сети на всех узлах для чего на всех узлах выполним команду:

# chronyc sources

Настройка перенаправления зоны в домене IPA

Настраиваем перенаправление в консоли:

# kinit admin
# ipa dnsforwardzone-add sngp.com --forwarder=10.213.7.3 --forward-policy=only

Проверяем в web-интерфейсе, что появилось перенаправление.

Проверяем корректность разрешения имени контроллера домена.

# nslookup srv-rain-win-01.sngp.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   srv-rain-win-01.sngp.com
Address: 10.213.7.3

Проверяем корректность разрешения SRV-записей.

# dig SRV _ldap._tcp.sngp.com

; <<>> DiG 9.18.41 <<>> SRV _ldap._tcp.sngp.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23343
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: f00cd8d8e9dd00a401000000693bbc7dfa85af4f1d2e53bc (good)
;; QUESTION SECTION:
;_ldap._tcp.sngp.com.           IN      SRV

;; ANSWER SECTION:
_ldap._tcp.sngp.com.    600     IN      SRV     0 100 389 srv-rain-win-01.sngp.com.

;; ADDITIONAL SECTION:
srv-rain-win-01.sngp.com. 3501  IN      A       10.213.7.3

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Fri Dec 12 11:55:57 +05 2025
;; MSG SIZE  rcvd: 136

# dig SRV _ldap._tcp.ipa.sngp.com

; <<>> DiG 9.18.41 <<>> SRV _ldap._tcp.ipa.sngp.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38194
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: 8f5d2822b1909b1b01000000693bbc832243b68ec5eb9158 (good)
;; QUESTION SECTION:
;_ldap._tcp.ipa.sngp.com.       IN      SRV

;; ANSWER SECTION:
_ldap._tcp.ipa.sngp.com. 86400  IN      SRV     0 100 389 srv-rain-redos-02.ipa.sngp.com.

;; ADDITIONAL SECTION:
srv-rain-redos-02.ipa.sngp.com. 1200 IN A       10.213.7.4

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1) (UDP)
;; WHEN: Fri Dec 12 11:56:03 +05 2025
;; MSG SIZE  rcvd: 146

Если условная пересылка отрабатывает корректно, но аналогично настраиваем условную пересылку с Windows-домена.

Внимание!

Вот здесь вылезла ошибка с перенаправлением с sngp.com на ipa.sngp.com на субдомен как выяснилось перенаправлять не получается и придется переделать стенд на другое доменное имя.