Системные и аппаратные требования
Для работы Avanpost DS необходимо выполнение следующих аппаратных и системных требований для АРМ пользователя:
Таблица. Требования к конфигурации системного и аппаратного обеспечения АРМ
Компонент | Минимальная конфигурация |
|---|---|
Операционная система |
|
Процессор | В соответствии с требованиями ОС |
Оперативная память | В соответствии с требованиями ОС |
Жёсткий диск | В соответствии с требованиями ОС |
Сетевая плата | Ethernet 100 Мбит |
Монитор | С разрешением 1024x768 и выше |
Дополнительное ПО | Браузер |
Введение в домен
Для введения хоста в домен используется утилита "dscli.exe" из архива "Avanpost.DS.Server.Linux.Tools.v*.tar.gz", которая автоматизирует настройку служб Kerberos и sssd.
Требуется подключиться к хосту, который необходимо ввести в домен, и выполнить шаги:
- Шаг 1. Задать имя компьютера.
- Шаг 2. Задать статический IP и указать контроллер домена Avanpost DS в качестве DNS-сервера.
- Шаг 3. Проверить разрешение DNS записей контроллера домена на рабочей станции.
- Шаг 4. Ввести рабочую станцию в домен с помощью утилиты "dscli.exe".
- Шаг 5. Проверить ввод в домен.
Шаг 1. Задать имя компьютера.
Для этого требуется:
1.1. Выполнить команду:
sysdm.cpl
1.2. В открывшемся окне свойств системы на вкладке "Имя компьютера" задать имя с помощью кнопки "Изменить" и применить изменения.
1.3. Выполнить перезапуск ОС.
Шаг 2. Задать статический IP и указать контроллер домена Avanpost DS в качестве DNS-сервера.
Для этого требуется:
2.1. В разделе "Сетевые подключения" панели управления нажать правой кнопкой мыши на сетевое подключение, для которого нужно настроить статический IP, и выбрать "Свойства".
2.2. В окне свойств отметить чекбокс "IP-версии 4 (TCP/IPv4)" и открыть его свойства.
2.3. В открывшемся окне выбрать опцию "Использовать следующий IP-адрес" и ввести значения: IP-адрес, маску подсети, основной шлюз.
2.4. В полях "Предпочитаемый DNS-сервер" и "Альтернативный DNS-сервер" указать IP-адреса контроллеров домена Avanpost DS.
2.5. Применить изменения.
Шаг 3. Проверить разрешение DNS записей контроллера домена на рабочей станции.
Для этого требуется выполнить команду:
nslookup [FQDN]
Заменить [FQDN] на FQDN контроллера домена.
Шаг 4. Ввести рабочую станцию в домен с помощью утилиты "dscli.exe".
Для этого требуется:
4.1. Скачать архив "Avanpost.DS.Server.Linux.Tools.v*.tar.gz" и разархивировать "dscli.exe".
Утилита "dscli.exe" доступна, начиная с версии Avanpost DS 1.8.0.12.
4.2. Запустить CMD от имени администратора и выполнить команду ввода рабочей станции в домен:
Шаблон команды
C://Users/admin/Downloads/dscli.exe join -domain [ДОМЕН] -login [ЛОГИН]
Необходимо заменить [ДОМЕН] на свой домен, а [ЛОГИН] — на логин созданной вручную учетной записи Avanpost DS с правами администратора. (В примере "lipov")
Пример команды
C://Users/admin/Downloads/dscli.exe join -domain avanpost.local -login lipov
После ввода в домен утилита "dscli.exe" автоматически будет перенесена в папку "C:\Program Files\Avanpost\dscli".
Шаг 5. Проверить ввод в домен.
Для этого требуется:
5.1. Проверить отображение новой рабочей станции в разделе "Рабочие станиции" веб-интерфейса Avanpost DS.
5.2. Выполнить перезапуск ОС на рабочей станции и войти под пользователем Avanpost DS.
Если вход выполнен успешно, то рабочая станция введена в домен корректно.
Пример лога успешного входа под пользователем Avanpost DS
UDP packet received: bytes=168 from=192.168.1.36:58494
ASExchange start --->
------ Message start (KDCReqFields) ------
MsgType: 10 - KRB_AS_REQ
PVNO: 5
Reneval: false
PAData:
ReqBody:
KDCOptions: 40800010 - FORWARDABLE(1),RENEWABLE(8),RENEWABLE-OK(27),
Realm: AVANPOST.LOCAL
CName: 1 - lipov
SName: 2 - krbtgt/AVANPOST.LOCAL
From:
Till: 2100-09-13 02:48:05 +0000 UTC
Rtime: 2100-09-13 02:48:05 +0000 UTC
Nonce: 577885004
EType: 18,17,23,3,
Addresses:
AdditionalTickets:
EncAuthData:
KVNO: 0
EType: 0
Cipher len: 0
------ Message End (KDCReqFields) ------
ASRep sname=krbtgt/AVANPOST.LOCAL, srealm=AVANPOST.LOCAL, cname=lipov, crealm=AVANPOST.LOCAL
timestamp=<nil>, key=<nil>
---> ASExchange end
timestampHandler.preauth err: KRB Error: (25) KDC_ERR_PREAUTH_REQUIRED Additional pre-authentication required - NEEDED_PREAUTH
UDP packet sent: bytes=185 to=192.168.1.36:58494
<34>1 ds01.avanpost.local AvanpostDS - PREAUTH_FAIL - BOMpreauth failed for principal "lipov", data=sender_realm:AVANPOST.LOCAL,recipient:krbtgt/AVANPOST.LOCAL,recipient_realm:AVANPOST.LOCAL,ip:192.168.1.36,object_dn:cn=lipov,ou=users,dc=avanpost,dc=local,object_uid:991c4314-2a22-43ea-b965-0c14126b8d66
UDP packet received: bytes=168 from=192.168.1.36:58495
ASExchange start --->
------ Message start (KDCReqFields) ------
MsgType: 10 - KRB_AS_REQ
PVNO: 5
Reneval: false
PAData:
ReqBody:
KDCOptions: 40800010 - FORWARDABLE(1),RENEWABLE(8),RENEWABLE-OK(27),
Realm: AVANPOST.LOCAL
CName: 1 - lipov
SName: 2 - krbtgt/AVANPOST.LOCAL
From:
Till: 2100-09-13 02:48:05 +0000 UTC
Rtime: 2100-09-13 02:48:05 +0000 UTC
Nonce: 2044500120
EType: 18,17,23,3,
Addresses:
AdditionalTickets:
EncAuthData:
KVNO: 0
EType: 0
Cipher len: 0
------ Message End (KDCReqFields) ------
ASRep sname=krbtgt/AVANPOST.LOCAL, srealm=AVANPOST.LOCAL, cname=lipov, crealm=AVANPOST.LOCAL
timestamp=<nil>, key=<nil>
---> ASExchange end
timestampHandler.preauth err: KRB Error: (25) KDC_ERR_PREAUTH_REQUIRED Additional pre-authentication required - NEEDED_PREAUTH
UDP packet sent: bytes=185 to=192.168.1.36:58495
<34>1 2025-09-23T13:59:40+03:00 ds01.avanpost.local AvanpostDS - PREAUTH_FAIL - BOMpreauth failed for principal "lipov", data=recipient:krbtgt/AVANPOST.LOCAL,recipient_realm:AVANPOST.LOCAL,ip:192.168.1.36,object_dn:cn=lipov,ou=users,dc=avanpost,dc=local,object_uid:991c4314-2a22-43ea-b965-0c14126b8d66,sender_realm:AVANPOST.LOCAL
UDP packet received: bytes=250 from=192.168.1.36:58496
ASExchange start --->
------ Message start (KDCReqFields) ------
MsgType: 10 - KRB_AS_REQ
PVNO: 5
Reneval: false
PAData:
(0) Type: 2 - PA-ENC-TIMESTAMP
(0) Data: MEGgAwIBEqI6BDjJoZesFdrzYP00EAtosWtpQP99YyJVqh69w3fTsxrlI0A6otGbVaO3/+Jc/9h1+Q773ZtWg/j5ag==
(0) Data len: 67
ReqBody:
KDCOptions: 40800010 - FORWARDABLE(1),RENEWABLE(8),RENEWABLE-OK(27),
Realm: AVANPOST.LOCAL
CName: 1 - lipov
SName: 2 - krbtgt/AVANPOST.LOCAL
From:
Till: 2100-09-13 02:48:05 +0000 UTC
Rtime: 2100-09-13 02:48:05 +0000 UTC
Nonce: 1340033096
EType: 18,17,23,3,
Addresses:
AdditionalTickets:
EncAuthData:
KVNO: 0
EType: 0
Cipher len: 0
------ Message End (KDCReqFields) ------
use DEFAULT password police for DN: [cn=lipov,ou=users,dc=avanpost,dc=local]
ASRep sname=krbtgt/AVANPOST.LOCAL, srealm=AVANPOST.LOCAL, cname=lipov, crealm=AVANPOST.LOCAL
timestamp=2025-09-23 10:59:40.954626 +0000 UTC, key=&{PrincipalName:{NameType:1 NameString:[lipov]} Realm:AVANPOST.LOCAL EType:18 Value:[253 155 91 93 24 41 92 85 159 14 10 136 134 14 251 239 166 66 54 10 121 233 181 102 159 242 24 203 98 61 54 175] Salt:IC0tgo7PWetdxcA2bCBJNA== KVNO:3}
!!! AS pacContext = [(*domain.pacAScontext)(nil)]
pac1Bytes=[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]
------ Message start (KDCRepFields) ------
MsgType: 11 - KRB_AS_REP
PVNO: 5
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
PAData:
(0) Type: 19 - PA-ETYPE-INFO2
(0) Data: MCMwIaADAgESoRobGElDMHRnbzdQV2V0ZHhjQTJiQ0JKTkE9PQ==
(0) Data len: 37
Ticket:
TktVNO: 5
Realm: AVANPOST.LOCAL
SName Type: 2
SName String: krbtgt/AVANPOST.LOCAL
EncPart:
KVNO: 1
EType: 18
Cipher len: 997
DecryptedEncPart:
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
AuthTime: 2025-09-23 10:59:40 +0000 UTC
StartTime:
EndTime: 2025-09-24 10:59:40 +0000 UTC
RenewTill: 2025-09-30 10:59:40 +0000 UTC
CAddr:
Transited.TRType: 1
Transited.Contents len: 0
Flags: 40e00000 - FORWARDABLE(1),RENEWABLE(8),INITIAL(9),PRE-AUTHENT(10),
AuthorizationData:
(0) type: 1, len: 774
Key: type:18, len:32
EncPart:
KVNO: 0
EType: 18
Cipher len: 257
DecryptedEncPart:
SRealm: AVANPOST.LOCAL
SName: 2 - krbtgt/AVANPOST.LOCAL
CAddr:
Flags: 40e00000 - FORWARDABLE(1),RENEWABLE(8),INITIAL(9),PRE-AUTHENT(10),
Nonce: 1340033096
PAData:
AuthTime: 2025-09-23 10:59:40 +0000 UTC
StartTime:
EndTime: 2025-09-24 10:59:40 +0000 UTC
RenewTill: 2025-09-30 10:59:40 +0000 UTC
KeyExpiration: 2025-10-24 10:59:40 +0000 UTC
Key: type:18, len:32
LastReqs:
(0): 6 - 2025-10-24 10:59:40 +0000 UTC
------ Message End (KDCRepFields) ------
---> ASExchange end
<34>1 ds01.avanpost.local AvanpostDS - TICKET_ISSUE - BOMprincipal "lipov" issued a TGT ticket on AS exchange, data=recipient_realm:AVANPOST.LOCAL,ip:192.168.1.36,result:ok,object_dn:cn=lipov,ou=users,dc=avanpost,dc=local,object_uid:991c4314-2a22-43ea-b965-0c14126b8d66,sender_realm:AVANPOST.LOCAL,recipient:krbtgt/AVANPOST.LOCAL
UDP packet sent: bytes=1481 to=192.168.1.36:58496
UDP packet received: bytes=1460 from=192.168.1.36:58497
TGSExchange start --->
------ Message start (KDCReqFields) ------
MsgType: 12 - KRB_TGS_REQ
PVNO: 5
Reneval: false
PAData:
(0) Type: 1 - PA-TGS-REQ
(0) Data(first 255): boIE9zCCBPOgAwIBBaEDAgEOogcDBQAAAAAAo4IEQ2GCBD8wggQ7oAMCAQWhEBsOQVZBTlBPU1QuTE9DQUyiIzAhoAMCAQKhGjAYGwZrcmJ0Z3QbDkFWQU5QT1NULkxPQ0FMo4ID+zCCA/egAwIBEqEDAgEBooID6QSCA+U3TQmoVgcelmR9uiZ4fwvN0dEQE46kp67AHrSpb0zENfVzis9R44lEkILQtELCl0/sBnbbdn5prZfa/Dicc2MZwbW1GStOOs1sYB2oH86NxLmaNRpxjWPFSMKRNaSlszT6TpDlEi7EYOxL9r6gezDCf7N5GofWkct16ci9/cQPR8RS
(0) Data len: 1275
(1) Type: 167 - PA-PAC-OPTIONS
(1) Data: MAmgBwMFAEAAAAA=
(1) Data len: 11
ReqBody:
KDCOptions: 40800000 - FORWARDABLE(1),RENEWABLE(8),
Realm: AVANPOST.LOCAL
CName: 0 -
SName: 3 - host/win01.avanpost.local
From:
Till: 2100-09-13 02:48:05 +0000 UTC
Rtime:
Nonce: 503042668
EType: 18,17,23,24,-135,
Addresses:
AdditionalTickets:
EncAuthData:
KVNO: 0
EType: 0
Cipher len: 0
------ Message End (KDCReqFields) ------
------ Message start (APReq) ------
MsgType: 14 - KRB_AP_REQ
PVNO: 5
APOptions: 00000000 -
Ticket:
TktVNO: 5
Realm: AVANPOST.LOCAL
SName Type: 2
SName String: krbtgt/AVANPOST.LOCAL
EncPart:
KVNO: 1
EType: 18
Cipher len: 997
DecryptedEncPart:
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
AuthTime: 2025-09-23 10:59:40 +0000 UTC
StartTime:
EndTime: 2025-09-24 10:59:40 +0000 UTC
RenewTill: 2025-09-30 10:59:40 +0000 UTC
CAddr:
Transited.TRType: 1
Transited.Contents len: 0
Flags: 40e00000 - FORWARDABLE(1),RENEWABLE(8),INITIAL(9),PRE-AUTHENT(10),
AuthorizationData:
(0) type: 1, len: 774
Key: type:18, len:32
EncryptedAuthenticator:
KVNO: 0
EType: 18
Cipher len: 136
Authenticator:
AVNO: 5
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
Cksum: type: 7, len: 16
Cusec: 1
CTime: 2025-09-23 10:59:40 +0000 UTC
SubKey: type: 0, len: []
SeqNumber: 503042668
AuthorizationData:
------ Message End (APReq) ------
!!! TGS pacContext = [&domain.pacTGScontext{Flags:0x40}]
!!! minTimesExceptZeros tgs rep.endTime=2025-09-24 10:59:40 +0000 UTC, req.till=2100-09-13 02:48:05 +0000 UTC, tgtTimesFlags.endTime=2025-09-24 10:59:40 +0000 UTC, tgtTimesFlags.startTime.Add(tktLifetime)=2025-09-24 10:59:40 +0000 UTC
tgsReq.ReqBody.SName={NameType:3 NameString:[host win01.avanpost.local]}, tgsReq.ReqBody.Realm=AVANPOST.LOCAL, apReq.Ticket.SName={NameType:2 NameString:[krbtgt AVANPOST.LOCAL]}, apReq.Ticket.Realm=AVANPOST.LOCAL
sname=host/win01.avanpost.local, srealm=AVANPOST.LOCAL, cname=lipov, crealm=AVANPOST.LOCAL
server principal=host/win01.avanpost.local, realm=AVANPOST.LOCAL, kvno=1
SESSION_KEY using
------ Message start (KDCRepFields) ------
MsgType: 13 - KRB_TGS_REP
PVNO: 5
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
PAData:
Ticket:
TktVNO: 5
Realm: AVANPOST.LOCAL
SName Type: 2
SName String: host/win01.avanpost.local
EncPart:
KVNO: 1
EType: 18
Cipher len: 997
DecryptedEncPart:
CRealm: AVANPOST.LOCAL
CName: 1 - lipov
AuthTime: 2025-09-23 10:59:40 +0000 UTC
StartTime:
EndTime: 2025-09-24 10:59:40 +0000 UTC
RenewTill: 2025-09-30 10:59:40 +0000 UTC
CAddr:
Transited.TRType: 1
Transited.Contents len: 0
Flags: 40a80000 - FORWARDABLE(1),RENEWABLE(8),PRE-AUTHENT(10),TRANSITED-POLICY-CHECKED(12),
AuthorizationData:
(0) type: 1, len: 774
Key: type:18, len:32
EncPart:
KVNO: 0
EType: 18
Cipher len: 242
DecryptedEncPart:
SRealm: AVANPOST.LOCAL
SName: 3 - host/win01.avanpost.local
CAddr:
Flags: 40a80000 - FORWARDABLE(1),RENEWABLE(8),PRE-AUTHENT(10),TRANSITED-POLICY-CHECKED(12),
Nonce: 503042668
PAData:
AuthTime: 2025-09-23 10:59:40 +0000 UTC
StartTime:
EndTime: 2025-09-24 10:59:40 +0000 UTC
RenewTill: 2025-09-30 10:59:40 +0000 UTC
KeyExpiration:
Key: type:18, len:32
LastReqs:
(0): 0 - 1970-01-01 00:00:00 +0000 UTC
------ Message End (KDCRepFields) ------
---> TGSExchange end
UDP packet sent: bytes=1415 to=192.168.1.36:58497
<34>1 ds01.avanpost.local AvanpostDS - TICKET_ISSUE - BOMprincipal "lipov" issued a ST ticket on TGS exchange, data=sender_realm:AVANPOST.LOCAL,recipient:host/win01.avanpost.local,recipient_realm:AVANPOST.LOCAL,ip:192.168.1.36,result:ok,object_dn:cn=lipov,ou=users,dc=avanpost,dc=local,object_uid:991c4314-2a22-43ea-b965-0c14126b8d66