Предлагаю вашему вниманию продолжение моей эпопеи с миграцией компании на Российское ПО и как вы наверное знаете я уже проделал и задокументировал большой пласт проведенных работ и сегодня расскажу о нюансах авторизации пользователей домена Active Directory на рабочих станциях под управлением REDOS.

Что у нас есть на данный момент по FreeIPA

Имеется несколько контроллеров домена Active Directory и несколько контроллеров домена FreeIPA, настроено доверие между контроллером домена AD и IPA и теоретически пользователи домена Active Directory могут авторизоваться на рабочих станциях REDOS со своими учетными данными из домена Active Directory.

Гладко было на бумаге

Во первых, при подключении рабочей станции к домену не забываем параметр для создания домашнего каталога при входе пользователя в систему. Если все же забыли можно исправить вот такими командами.

# authselect select sssd with-mkhomedir --force
# systemctl enable --now oddjobd.service
# systemctl restart sssd

Подробную инструкцию по вводу рабочей станции в домен FreeIPA я уже писал.

• Ввод рабочей станции РЕД ОС в IPA-домен

Во вторых, проверяем консольный вход в систему с учетной записью пользователя и в этом случае обратите внимание на необходимость указания REALM домена Active Directory.

$ su ЧерноусовАА@SNGP.COM
Password: 
[черноусоваа@sngp.com@ans-ws-template /]$

Как видите в моем случае согласно корпоративных стандартов логин выглядит довольно странно, но если вы все настроили праильно, то даже такая экзотика будет работать и выдавать билет Kerberos.

[черноусоваа@sngp.com@ans-ws-template /]$ klist 
Ticket cache: KEYRING:persistent:1891810956:krb_ccache_gS7kIvu
Default principal: ЧерноусовАА@SNGP.COM

Valid starting       Expires              Service principal
03/24/2026 14:59:31  03/25/2026 00:59:31  krbtgt/SNGP.COM@SNGP.COM
        renew until 03/25/2026 14:59:31

Аналогично провертьте доступ по SSH и обратите внимание, что авторизация указывается так-же с указанием REALM.

$ ssh ЧерноусовАА@SNGP.COM@10.54.54.10
(ЧерноусовАА@SNGP.COM@10.54.54.10) Password: 
Last login: Tue Mar 24 14:59:31 2026
[черноусоваа@sngp.com@ans-ws-template ~]$ klist
Ticket cache: KEYRING:persistent:1891810956:krb_ccache_gS7kIvu
Default principal: ЧерноусовАА@SNGP.COM

Valid starting       Expires              Service principal
03/24/2026 15:05:03  03/25/2026 01:05:03  krbtgt/SNGP.COM@SNGP.COM
        renew until 03/25/2026 15:05:03

Выглядит конечно интересно, но все работает.

Авторизация рабочейстанции с GUI

И здесь казалось, что проблем не будет, но не тут то было. И оказывается, что GDM не умеет авторизовываться в домене и точнее он не передает REALM при авторизации. Выглядит, что пользователи FreeIPA домена могут авторизоваться (с REALM по умолчанию), а пользователи AD не могут.

Поэтому, смело удаляем GDM и устанавливаем SDDM.

# systemctl disable gdm
# dnf remove gdm
# dnf install sddm
# systemctl enable sddm
# systemctl enable sddm

И на последок шуточка от разработчиков sddm. Оказывается, что пользователь у которого установлен shell sh не могут запустить графическую оболочку после авторизации, что выглядит как полное сумасшествие.

У всех пользователей которые берутся из Active Directory как раз оболочка sh и вам надо добавить параметр в раздел с доменом в файл /etc/sssd/sssd.conf.

[domain/ipa.sngp.su]
...
krb5_store_password_if_offline = True
override_shell = /bin/bash

Вот такое получилось интересное приключение на пол дня. Надеюсь кому поможет и не придется дебажить как я.