| Оглавление |
|---|
| Информация | ||
|---|---|---|
| ||
|
Двусторонние доверительные отношения на уровне Kerberos
Под двусторонними доверительными отношениями ALD Pro (FreeIPA) Двусторонние доверительные отношения между доменами FreeIPA и Windows Active Directory на уровне Kerberos подразумевается, что возможна только взаимная аутентификация пользователей. Однако назначение прав доступа (авторизация) при этом не выполняется (в частности, недоступна информация об участии пользователей в группах). Для функционирования доверительных отношений на уровне Kerberos использование Глобального Каталога (Global Catalog) не требуется позволяют обеспечить взаимную аутентификацию пользователей. Пользователи Windows получают возможность обращаться к ресурсам домена FreeIPA и наоборот. Однако одних только доверительных отношений на уровне Kerberos недостаточно для того, чтобы можно было назначать права доступа на стороне Windows (настраивать авторизацию), так как стандартные оснастки Windows выполняют поиск пользователей доверенного леса через обращение к сервису Глобально Каталога (Global Catalog), которого на стороне службы каталога FreeIPA нет. В службе каталога ALD Pro сервис Глобального Каталога появился начиная с версии ALD Pro 2.1.
Глобальный Каталог (Global Catalog)
Поддержка Глобального Каталога необходима для того, чтобы при выполнении авторизации был доступны объекты можно было настраивать права доступа к объектам из доверенного домена. Глобальный Каталог поддерживается в ALD Pro начиная с версии ХХХ (FreeIPA начиная с 2.1 на базе FreeIPA из состава Astra Linux Special Edition РУСБ.10015-01 01 (очередное обновление 1.7 ), РУСБ.10015-10 с установленным обновлением 1.7.4 и выше).
В более ранних обновлениях, когда Глобальный Каталог недоступен, для управления доступом можно:
Назначать доступ напрямую по идентификатору безопасности объекта (SID)
. Если каталогу Microcoft WindowsS назначить права доступа пользователю/группе из домена ALD Pro (FreeIPA) по SID, то, например:
Блок кода PS C:\Users\Administrator> ICACLS "C:\Common" /grant:r "*S-1-5-21-1724891028-2898148248-1736958143-1005:(OI)(CI)F" /TВ этом случае при открытии свойств папки в интерфейсе будет доступно имя пользователя, т.к. преобразование SID в имя выполняется через RPC-вызов по транспорту SMB,
который выполняет LDAP запроси данная возможность поддерживается на стороне FreeIPA.
Создать в домене Microsoft AD группу безопасности с областью действия (scoupe) Domain Local,
добавитьдобавив в нее SID объектов доверенного домена ALD Pro (FreeIPA), и использовать эту группу в оснастках MS Windows для назначения прав доступа.
Например:
Блок кода #SID Из леса ALD_Pro(Пользователь или группа) $AldSid = 'S-1-5-21-1784717832-1844364183-3442789864-1013' #Domain Local Group из леса Active Directory $DomainLocalGroupDN = 'CN=Contoso-Group-DL,CN=Users,DC=contoso,DC=dom' #Создание нового Directory Entry $group = New-Object DirectoryServices.DirectoryEntry("LDAP://$($DomainLocalGroupDN)") #Добавление AldSid в DomainLocal группу [void]$group.member.Add("<SID=$AldSid>") $group.CommitChanges()