Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents


Info
titleДанная статья применима к:
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) в домене FreeIPA



Warning

Отображение списка пользователей по умолчанию отключено, так как доступность информации о существующих пользователях снижает защищенность информационной системы. Кроме того, при работе в доменах список пользователей может быть слишком велик и расход системных ресурсов на построение такого списка может негативно влиять на работоспособность системы.


Включение отображения списка пользователей

  1. Запустить графический инструмент "Настройка графического входа":

    Command
    sudo fly-admin-dm


  2. Перейти в закладку "Пользователи":


  3. Отметить пункт "Показывать список:


  4. Установить прочие параметры показа списка пользователей (описание параметров доступно при наведении курсора на соответствующее поле)

    Info

    При работе в любых доменах для отображения в списке доменных пользователей следует установить значение параметра "Более" большим, чем значения числовых идентификаторов доменных пользователей, которые должны отображаться в списке. Получить значение числового идентификатора пользователя можно командой:

    Command
    id <имя_пользователя>

    Дополнительную информацию по настройке списка пользователей при работе в доменах см. ниже.


  5. Нажать кнопку "Да" или "Применить", после чего будет выдано предупреждение о необходимости перезагрузки компьютера для вступления изменений в силу;

  6. Перезагрузить компьютер.

Включение в список доменных пользователей FreeIPA

По умолчанию при включенном отображении списков пользователей доменные пользователи не отображаются. Для включения доменных пользователей в список:

  1. На сервере FreeIPA:
    1. Получить билет администратора домена, если он ранее не был получен:

      Command
      kinit admin



    2. Определить диапазон идентификаторов доменных пользователей. Это можно сделать с помощью web-интерфейса FreeIPA или командой:

      Command
      Titleipa idrange-find
      -----------------
      найден 1 диапазон
      -----------------
        Имя диапазона: IPADOMAIN0.RU_id_range
        Первый идентификатор POSIX диапазона: 1899200000
        Количество идентификаторов в диапазоне: 200000
        Первый RID соответствующего диапазона RID: 1000
        Первый RID вторичного диапазона RID: 100000000
        Тип диапазона: local domain range
      ---------------------------------[domain/<имя_домена>)]
      Количество возвращённых записей 1
      ---------------------------------

      В примере выше диапазон идентификаторов доменных пользователей начинается с идентификатора 1 899 200 000 и содержит 200 000 идентификаторов, т.е идентификаторы находятся в диапазоне  от 1 899 200 000 до 1 899 399 999;

  2. На каждой клиентской машине:
    1. Включить возможность получения списка доменных пользователей через службу sssd, для чего в файле /etc/sssd/sssd.conf в секцию параметров домена FreeIPA (секция с именем [domain/<имя_домена>)]) добавить строчку:

      Code Block
      enumerate = true


    2. Запустить графический инструмент "Настройка графического входа":

      Command
      sudo fly-admin-dm


    3. Перейти в закладку "Пользователи";

    4. В секции "Идентификаторы системных пользователей" указать границы диапазона так, чтобы идентификаторы доменных пользователей находились внутри этого диапазона, например:


    5. Нажать кнопку "Да" или "Применить", после чего будет выдано предупреждение о необходимости перезагрузки компьютера для вступления изменений в силу;

    6. Перезагрузить компьютер.


Включение в список доменных пользователей Windows AD

Если ОС введена в домен с помощью astra-ad-sssd-client

  1. В конфигурационном файле службы sssd /etc/sssd/sssd.conf в блок [domain] добавить параметр:

    Code Block
     enumerate = True


  2. Перезапустить службу sssd:

    Command
    sudo systemctl restart sssd


Если ОС введена в домен с помощью astra-winbind

  1. В конфигурационном файле службы samba /etc/samba/smb.conf установить параметр параметры winbind use default domain в и winbind enum users в значение yes:

    Code Block
    winbind use default domain = yes yes
    winbind enum users = yes 


  2. Перезапустить службу winbind:

    Command
    sudo systemctl restart winbind.service