Настройка доверительных отношений с MS Active Directory

ВНИМАНИЕ:

В инструкции приведены команды для операционных систем:

RedOSAstraAlt

МСВСфера

Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех ОС. Необходимо выполнять команды только для используемой вами ОС.

Для настройки доверительных отношений Avanpost DS с MS Active Directory требуется подготовить как минимум одну рабочую станцию на одной из поддерживаемых ОС.

Настройка состоит из этапов:

1. Настройка MS AD

Для настройки доверительных отношений на стороне MS AD необходимо выполнить шаги:

Шаг 1.1. Настроить DNS форвардинг на сервере с MS AD.

Для этого требуется:

  1. В контекстном меню каталога "Conditional Forwarders" выбрать "New Conditional Forwarder...".

  2. В открывшемся окне указать домен Avanpost DS в поле "DNS Domain" и адреса всех контроллеров Avanpost DS в поле "IP addresses of the master servers".

2. Настройка доверительных отношений в Avanpost DS

Примечание:

Доверительные отношения в Avanpost DS работают по протоколу LDAPS.

В конфигурационном файле Avanpost DS "/opt/avanpost/ads/config/config.yaml" доступны для настройки параметры доверительных отношений в секции "trusts":

Пример /opt/avanpost/ads/config/config.yaml
trusts:
  timeout: 5 # Ограничение по времени на установку соединения, по умолчанию 5 сек.
  skip_cert_verify: true # При значении "true" Avanpost DS доверяет любому сертификату, на котором работает LDAPS.
  allow_bare_ldap: true # При значении "true" Avanpost DS будет пытаться подключиться к доверенному домену по LDAP, если не удалось установить подключение по LDAPS.

Для настройки доверительных отношений на стороне Avanpost DS необходимо выполнить шаги:

Шаг 2.1. На каждом контроллере Avanpost DS указать дополнительную зону DNS для каждого доверенного домена MS AD.

Для этого требуется:

  1. Если включено автоматическое управление конфигурацией, для добавления строки требуется:
    1. Нажать в правом верхнем углу раздела "DNS" веб-интерфейса администратора.
    2. Добавить строку в секцию "Настройки рекурсивного DNS сервера (recursor.conf)" по шаблону:
      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]:53
    3. Нажать .
  2. Если автоматическое управление конфигурацией отключено, для добавления строки требуется на каждом контроллере домена добавить строку в конфигурационный файл вручную. Для этого необходимо:
    1. Открыть для редактирования конфигурационный файл "recursor.conf".
      RedOS
      sudo nano /etc/pdns-recursor/recursor.conf
      Astra
      sudo nano /etc/powerdns/recursor.conf
      Alt
      sudo nano /etc/pdns-recursor/recursor.conf
      МСВСфера
      sudo nano /etc/pdns-recursor/recursor.conf
    2. Добавить строку для каждого доверенного домена MS AD в конфигурационный файл "recursor.conf" по шаблону:
      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]:53
    3. Перезапустить сервис "pdns-recursor" с помощью команды:
      sudo systemctl restart pdns-recursor
Пример заполненного recursor.conf
forward-zones=avanpost.local=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300
forward-zones+=windomen.adds=192.168.1.30:53  # Добавить такую строку под каждый домен MS AD
local-address=0.0.0.0:53
serve-rfc1918=no
dnssec=off # No RRSIG, current state is Bogus

Шаг 2.3. Создать доверительные отношения. 

Для этого требуется:

  1. Нажать в разделе "Доверительные отношения" веб-интерфейса администратора Avanpost DS.
  2. В открывшейся форме заполнить поля:
    ПолеЗначение
    ТипВыбрать из выпадающего списка значение "AD".
    Направление

    Выбрать из выпадающего списка значение:

    • "INCOMING" – для настройки доступа пользователей из домена Avanpost DS к ресурсам доверенного домена.
    • "OUTGOING" – для настройки доступа пользователей из доверенного домена к ресурсам домена Avanpost DS 
    • "BIDIRECTIONAL" – для настройки доступа в обоих направлениях.
    Домен

    Указать название домена из MS AD в верхнем регистре. 

    Системный аккаунт для LDAP-запросов

    Указать DN учетной записи MS AD из домена, с которым настраиваются доверительные отношения. (Каких-либо прав не требуется)
    Пример: CN=testUser,CN=Users,DC=WINDOMEN,DC=ADDS

    Пароль системного аккаунтаУказать пароль от указанной учетной записи MS AD.
    Пароль для создания доверительных отношений

    Указать произвольный пароль для создаваемых доверительных отношений.

    Администратор домена

    Указать Login учетной записи MS AD из домена, с которым настраиваются доверительные отношения, с правами на создание доверительных отношений и список групп, куда он входит.
    Пример: Administrator

    Пароль администратора

    Указать пароль от указанной учетной записи администратора MS AD.

  3. Нажать.


Рисунок — Настроенные доверительные отношения

3. Настройка доменных клиентов Avanpost DS для работы доверительных отношений

Для работы доверительных отношений на рабочих станциях и серверах, введенных в домен Avanpost DS, необходимо для каждого клиента выполнить шаги настройки:

Шаг 3.1. Ввести рабочую станцию в домен.

Для этого необходимо выполнить действия по инструкции: "6.7.1. Введение в домен рабочих станций Unix".

Шаг 3.2. Выполнить команду "repair", если рабочая станция была введена в домен до настройки доверительных отношений.

sudo /opt/avanpost/dscli/dscli repair

Шаг 3.3. Авторизоваться под пользователем из доверенного домена MS AD.

Для этого требуется выполнить команду по шаблону:

Шаблон команды
su - [ИМЯ ПОЛЬЗОВАТЕЛЯ]

Для авторизации под пользователем из доверенного домена MS AD следует указывать REALM в том регистре, который используется для домена в MS AD, или вообще его не указывать.

Пример команды
su - user1
su - user1@WINDOMEN.ADDS


Обсуждение