Просмотреть исходный

Добавление аутентификации через FreeIPA

При необходимости ввода в домен FreeIPA, развернутый на ОС Astra Linux Special Edition, ВРМ с другой гостевой ОС Linux, необходимо внести изменения в файл /usr/lib/python3.6/site-packages/ipalib/constants.py (см. подраздел Подготовка базового ВРМ).

Для добавления аутентификации через FreeIPA администратору Termidesk следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «FreeIPA». Далее необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Termidesk поддерживает авторизацию пользователей, находящихся во вложенных доменных группах FreeIPA.

Параметр Описание

«Название» Текстовое наименование домена аутентификации

«Комментарий» Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях

«Приоритет»

Преимущество использования домена аутентификации при проверке субъекта и его полномочий.

Порядок отображения доменов зависит от приоритета домена и его наименования:

чем ниже приоритет, тем выше домен в списке;
при наличии доменов с одинаковым приоритетом действует сортировка по алфавиту

«Метка»

Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk.

Начиная с Termidesk версии 5.1 поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание)

«Субъекты»

Выбор субъектов, для которых будет доступен домен аутентификации.

Возможные значения:

«Все» - домен аутентификации будет доступен как для пользователей, так и для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале администратора», «Портале пользователя», «Портале универсальном», и при подключении из компонента «Клиент»;
«Администраторы и персонал» - домен аутентификации будет доступен только для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен только на «Портале администратора» или «Портале универсальном»;
«Пользователи» - домен аутентификации будет доступен только для пользователей. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале пользователя», «Портале универсальном» или при подключении пользователя из компонента «Клиент»;
«Система» - домен аутентификации не будет доступен ни для пользователей, ни для администраторов и персонала

«Сервисный аккаунт» Название сервисного аккаунта, созданного в службе каталогов FreeIPA

«Домен» Идентификатор области Kerberos для аутентификации

«Keytab»

Путь к файлу с ключами для сервисного аккаунта (пример формирования файла приведен в подразделе Получение и добавление файла keytab). Каждая генерация keytab должна производиться в новый файл. При необходимости повторного использования имени файла существующий файл обязательно должен быть удален перед генерацией.

Неважно, для какого узла создан keytab, необходимо само его наличие.

Пример:

в случае стандартного хранения файла: «/etc/opt/termidesk-vdi/termidesk.keytab»;
в случае хранения файла в хранилище hvac: «hvac-kv://secret#termidesk-admin/keytabs/termidesk». Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac».

Если используется хранилище, то сгенерированный на контроллере домена keytab-файл должен быть преобразован к формату BASE64.

«Сервер FreeIPA» FQDN ресурса, являющегося источником сведений о субъектах и их полномочиях

«Проверка SSL» Проверка использования SSL

При добавлении второго домена аутентификации необходимо создать новый файл keytab и задать ему имя, отличное от уже существующего.

Добавление второго домена аутентификации не отличается от добавления первого.

Для возможности подключения двухфакторной аутентификации (2FA) нужно включить экспериментальный параметр experimental.2fa.enabled (см. подраздел Управление экспериментальными параметрами Termidesk).

После включения параметра при переходе «Компоненты - Домены аутентификации» и нажатия экранной кнопки [Создать] появятся новые домены аутентификации:

«FreeIPA (2FA, эксперим.)» - позволяет всем пользователям проходить двухфакторную аутентификацию;
«FreeIPA (2FA, нативн., эксперим.)» - пользователям требуется вручную отправлять QR-код для настройки двухфакторной аутентификации.

Двухфакторная аутентификация доступна только при входе в Termidesk через веб-интерфейс. Для ее прохождения необходимо установить приложение FreeOTP Authenticator на мобильные устройства пользователей.

Termidesk не реализует непосредственно механизм аутентификации. На контроллере домена FreeIPA должна быть подключена двухфакторная аутентификация, только после этого ее необходимо добавить в Termidesk, как приведено выше.