| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Двусторонние доверительные отношения на уровне Kerberos
Под двусторонними доверительными отношениями ALD Pro (FreeIPA) и Windows Active Directory на уровне Kerberos подразумевается, что возможна только взаимная аутентификация пользователей. Однако назначение прав доступа (авторизация) при этом не выполняется (в частности, недоступна информация об участии пользователей в группах). Для функционирования доверительных отношений на уровне Kerberos использование Глобального Каталога (Global Catalog) не требуется.
Глобальный Каталог (Global Catalog)
Поддержка Глобального Каталога необходима для того, чтобы при выполнении авторизации был доступны объекты из доверенного домена. Глобальный Каталог поддерживается в ALD Pro начиная с версии 1.6 (FreeIPA начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) и РУСБ.10015-10 с установленным обновлением 1.7.4).
В более ранних обновлениях, когда Глобальный Каталог недоступен, для управления доступом можно:
Назначать доступ напрямую по идентификатору безопасности объекта (SID), например:
Блок кода PS C:\Users\Administrator> ICACLS "C:\Common" /grant:r "*S-1-5-21-1724891028-2898148248-1736958143-1005:(OI)(CI)F" /T
В этом случае при открытии свойств папки в интерфейсе будет доступно имя пользователя, т.к. преобразование SID в имя выполняется через RPC-вызов по транспорту SMB, и данная возможность поддерживается на стороне FreeIPA.
Создать в домене Microsoft AD группу безопасности с областью действия (scoupe) Domain Local, добавив в нее SID объектов доверенного домена ALD Pro (FreeIPA), и использовать эту группу в оснастках MS Windows для назначения прав доступа. Например:
Блок кода #SID Из леса ALD_Pro(Пользователь или группа) $AldSid = 'S-1-5-21-1784717832-1844364183-3442789864-1013' #Domain Local Group из леса Active Directory $DomainLocalGroupDN = 'CN=Contoso-Group-DL,CN=Users,DC=contoso,DC=dom' #Создание нового Directory Entry $group = New-Object DirectoryServices.DirectoryEntry("LDAP://$($DomainLocalGroupDN)") #Добавление AldSid в DomainLocal группу [void]$group.member.Add("<SID=$AldSid>") $group.CommitChanges()