Настройка доверенных отношений с MS Active Directory

ВНИМАНИЕ:

В инструкции приведены команды для трех операционных систем: REDOSASTRAALT

Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех трех ОС. Необходимо выполнять команды только для используемой вами ОС.

Для настройки доверительных отношений Avanpost DS с MS Active Directory требуется подготовить как минимум одну рабочую станцию на одной из поддерживаемых ОС: REDOSASTRAALT

Настройка состоит из этапов:

1. Настройка MS AD

Для настройки доверительных отношений на стороне MS AD необходимо выполнить шаги:

Шаг 1.1. Настроить DNS форвардинг на сервере с MS AD.

Для этого требуется:

  1. В контекстном меню каталога "Conditional Forwarders" выбрать "New Conditional Forwarder...".

  2. В открывшемся окне указать домен Avanpost DS в поле "DNS Domain" и адреса всех контроллеров Avanpost DS в поле "IP addresses of the master servers".

2. Настройка доверительных отношений в Avanpost DS

Для настройки доверительных отношений на стороне Avanpost DS необходимо выполнить шаги:

Шаг 2.1. На каждом контроллере Avanpost DS указать дополнительную зону DNS для каждого доверенного домена MS AD.

Для этого требуется:

  1. Если включено автоматическое управление конфигурацией, для добавления строки требуется:
    1. Нажать в правом верхнем углу раздела "DNS" веб-интерфейса администратора.
    2. Добавить строку в секцию "Настройки рекурсивного DNS сервера (recursor.conf)" по шаблону:
      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]:53
    3. Нажать .
  2. Если автоматическое управление конфигурацией отключено, для добавления строки требуется на каждом контроллере домена добавить строку в конфигурационный файл вручную. Для этого необходимо:
    1. Открыть для редактирования конфигурационный файл "recursor.conf".
      RedOS
      sudo nano /etc/pdns-recursor/recursor.conf
      Astra
      sudo nano /etc/powerdns/recursor.conf
      Alt
      sudo nano /etc/pdns-recursor/recursor.conf
    2. Добавить строку для каждого доверенного домена MS AD в конфигурационный файл "recursor.conf" по шаблону:
      Шаблон строки для добавления
      forward-zones+=[ДОМЕН]=[IP-АДРЕС КД]:53
    3. Перезапустить сервис "pdns-recursor" с помощью команды:
      sudo systemctl restart pdns-recursor
Пример заполненного recursor.conf
forward-zones=avanpost.local=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300
forward-zones+=windomen.adds=192.168.1.30:53  # Добавить такую строку под каждый домен MS AD
local-address=0.0.0.0:53
serve-rfc1918=no
dnssec=off # No RRSIG, current state is Bogus

Шаг 2.2. Создать доверительные отношения. 

Для этого требуется:

  1. Нажать в разделе "Доверительные отношения" веб-интерфейса администратора Avanpost DS.
  2. В открывшейся форме заполнить поля:
    ПолеЗначение
    ТипВыбрать из выпадающего списка значение "AD".
    НаправлениеВыбрать из выпадающего списка значение "BIDIRECTIONAL".
    Домен

    Указать название домена из MS AD в верхнем регистре. 

    Системный аккаунт для LDAP-запросов

    Указать DN учетной записи MS AD из домена, с которым настраиваются доверительные отношения. (Каких-либо прав не требуется)
    Пример: CN=testUser,CN=Users,DC=WINDOMEN,DC=ADDS

    Пароль системного аккаунтаУказать пароль от указанной учетной записи MS AD.
    Пароль для создания доверительных отношений

    Указать произвольный пароль для создаваемых доверительных отношений.

    Администратор домена

    Указать Login учетной записи MS AD из домена, с которым настраиваются доверительные отношения, с правами на создание доверительных отношений и список групп, куда он входит.
    Пример: Administrator

    Пароль администратора

    Указать пароль от указанной учетной записи администратора MS AD.

  3. Нажать.


Рисунок — Настроенные доверительные отношения

3. Настройка доменных клиентов Avanpost DS для работы доверительных отношений

ВАЖНО!

Если настраиваемая рабочая станция еще не введена в домен Avanpost DS, то вместо этапа 3 данной инструкции необходимо выполнить действия по инструкции: "6.7. Введение в домен рабочих станций".

Для работы доверительных отношений на рабочих станциях и серверах, введенных в домен Avanpost DS, необходимо для каждого клиента выполнить шаги настройки:

ВАЖНО!

Если версии серверной части Avanpost DS и утилиты доменного клиента "DSCLI" отличаются, то необходимо произвести обновление по инструкции: "7.7. Обновление Avanpost DS на актуальную версию".

Шаг 3.1. Очистить кэш.

Для этого требуется выполнить команду:

sudo sss_cache -E

На этом шаге возможно потребуется перезагрузка клиента.

Шаг 3.2. Авторизоваться под доменным пользователем.

Для этого требуется выполнить команду по шаблону:

Шаблон команды
su - [ИМЯ ПОЛЬЗОВАТЕЛЯ]

Для авторизации под пользователями из домена Avanpost DS, можно вводить REALM в любом регистре или вообще его не указывать.

Примеры команды
su - user
su - user@EXAMPLE.COM 

Шаг 3.3. Авторизоваться под пользователем из доверенного домена MS AD.

Для этого требуется выполнить команду по шаблону:

Шаблон команды
su - [ИМЯ ПОЛЬЗОВАТЕЛЯ]

Для авторизации под пользователем из доверенного домена MS AD следует указывать REALM в том регистре, который используется для домена в MS AD, или вообще его не указывать.

Пример команды
su - user1
su - user1@WINDOMEN.ADDS

ВАЖНО!

Если доверительные отношения настраиваются на доменном клиенте не первый раз, то необходимо на клиенте выполнить команду для перенастройки конфигурационных файлов krb5.conf для созданного доверенного домена:

sudo dscli/dscli repair

4. Беспарольная авторизация по SSH между хостами в домене Avanpost DS

После авторизации в домене Avanpost DS под доменным пользователем доступно беспарольное подключение по SSH на любой хост в домене.

su - admin # или su - admin@AVANPOST.LOCAL или su - admin@WINDOMEN.ADDS
ssh admin@[FQDN сервера в домене]


Обсуждение