Справочный центр

Дерево страниц

Сравнение версий

Старая версия 1

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия 2

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление


Информация
titleДанная статья применима к:
  • Astra Linux Special Edition


Двусторонние доверительные отношения на уровне Kerberos

Под двусторонними доверительными отношениями ALD Pro (FreeIPA) и Windows Active Directory на уровне Kerberos подразумевается, что возможна только взаимная аутентификация пользователей. Однако назначение прав доступа (авторизация) при этом не выполняется (в частности, недоступна информация об участии пользователей в группах). Для функционирования доверительных отношений на уровне Kerberos использование Глобального Каталога (Global Catalog) не требуется.

Глобальный Каталог (Global Catalog)

Поддержка Глобального Каталога необходима для того, чтобы при выполнении авторизации был доступны объекты из доверенного домена. Глобальный Каталог поддерживается в ALD Pro начиная с версии ХХХ 1.6 (FreeIPA начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) , и РУСБ.10015-10 с установленным обновлением 1.7.4).

В более ранних обновлениях, когда Глобальный Каталог недоступен, для управления доступом можно:

  1. Назначать доступ напрямую по идентификатору безопасности объекта (SID)

    . Если каталогу Microcoft WindowsS назначить права доступа пользователю/группе из домена ALD Pro (FreeIPA) по SID, то

    , например:

    Блок кода
    PS C:\Users\Administrator> ICACLS "C:\Common" /grant:r "*S-1-5-21-1724891028-2898148248-1736958143-1005:(OI)(CI)F" /T

    В этом случае при открытии свойств папки в интерфейсе будет доступно имя пользователя, т.к. преобразование SID в имя выполняется через RPC-вызов по транспорту SMB,

    который выполняет LDAP запрос

    и данная возможность поддерживается на стороне FreeIPA.

  2. Создать в домене Microsoft AD группу безопасности с областью действия (scoupe) Domain Local,

    добавить

    добавив в нее SID объектов доверенного домена ALD Pro (FreeIPA), и использовать эту группу в оснастках MS Windows для назначения прав доступа.

     

    Например:

    Блок кода
    #SID Из леса ALD_Pro(Пользователь или группа)
$AldSid = 'S-1-5-21-1784717832-1844364183-3442789864-1013'

#Domain Local Group из леса Active Directory
$DomainLocalGroupDN = 'CN=Contoso-Group-DL,CN=Users,DC=contoso,DC=dom'

#Создание нового Directory Entry
$group = New-Object DirectoryServices.DirectoryEntry("LDAP://$($DomainLocalGroupDN)")

#Добавление AldSid в DomainLocal группу
[void]$group.member.Add("<SID=$AldSid>") 
$group.CommitChanges()