Для настройки беспарольного перехода с одного доменного клиента на другой в домене Avanpost DS (single sign-on или SSO) необходимо на каждом доменном клиенте выполнить шаги:
- Шаг 1. Добавить строку с FQDN доменного клиента в файл "/etc/hosts".
- Шаг 2. Проверить синхронизацию времени на контроллере домена и доменных клиентах.
- Шаг 3. Проверить получение тикетов пользователями.
- Шаг 4. Проверить GSSAPI в настройках SSH.
- Шаг 5. Проверить беспарольное подключение с одной рабочей станции на другую.
Шаг 1. Добавить строку с FQDN доменного клиента в файл "/etc/hosts".
Для этого требуется:
1.1. Открыть для редактирования файл "/etc/hosts":
sudo nano /etc/hosts
1.2. Добавить в начало файла строку по шаблону:
127.0.0.1 [FQDN]
Заменить [FQDN] на полное доменное имя рабочей станции.
127.0.0.1 cl01.avanpost.local 127.0.0.1 localhost ...
Шаг 2. Проверить синхронизацию времени на контроллере домена и доменных клиентах.
Для этого требуется на контроллере домена и на доменных клиентах, для которых настраивается SSO выполнить команду:
date
Шаг 3. Проверить получение тикетов пользователями.
Для этого требуется проверить время в тикете. Оно должно совпадать с временем аутентификации пользователя.
3.1. Аутентифицироваться на рабочей станции под доменным пользователем:
su - [ИМЯ ПОЛЬЗОВАТЕЛЯ]
su - lipov
3.2. Проверить время в тикете с помощью команды:
klist
Шаг 4. Проверить GSSAPI в настройках SSH.
В настройках SSH должен быть включен GSSAPI. Требуется проверить значение параметра "GSSAPIAuthentication" в файле "/etc/ssh/ssh_config" с помощью команды:
sudo cat /etc/ssh/ssh_config | grep GSSAPIAuthenticatio
GSSAPIAuthentication yes
Внимание:
Если вывод команды "GSSAPIAuthentication no", то необходимо:
4.1. Открыть файл "/etc/ssh/ssh_config" для редактирования:
sudo nano /etc/ssh/ssh_config
4.2. Изменить значение параметра "GSSAPIAuthentication" на "yes".
4.3. Перезапустить демон sshd:
sudo systemctl restart ssh
Шаг 5. Проверить беспарольное подключение с одной рабочей станции на другую.
Для проверки требуется:
5.1. С текущей рабочей станции подключиться по SSH на другой доменный клиент под тем же доменным пользователем с помощью команды по шаблону:
ssh [ИМЯ ПОЛЬЗОВАТЕЛЯ]@[FQDN]
Заменить [ИМЯ ПОЛЬЗОВАТЕЛЯ] на логин доменного пользователя, под которым выполнена авторизация на текущей рабочей станции.
Заменить [FQDN] на полное доменное имя клиента, к которому требуется подключиться.
ssh lipov@cl02.avanpost.local
5.2. На вопрос "Are you sure you want to continue connecting (yes/no/[fingerprint])?" ответить "yes".
5.3. Выйти обратно на исходную рабочую станцию с помощью команды:
exit
5.4. Повторно подключиться по SSH на тот же доменный клиент под доменным пользователем (см. шаг 5.1.)
Подключение должно пройти без ввода пароля. Пример:
