Для добавления аутентификации через FreeIPA администратору Termidesk следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «FreeIPA».Далее необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы. Termidesk поддерживает авторизацию пользователей, находящихся во вложенных доменных группах FreeIPA. |
| Параметр | Описание |
|---|
| «Название» | Текстовое наименование домена аутентификации | | «Комментарий» | Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях | | «Приоритет» | Преимущество использования домена аутентификации при проверке субъекта и его полномочий | | «Метка» | Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk. версии 5.1 поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание) | | «Сервисный аккаунт» | Название сервисного аккаунта, созданного в службе каталогов FreeIPA | | «Домен» | Идентификатор области Kerberos для аутентификации | | «Keytab» | Путь к файлу с ключами для сервисного аккаунта (пример формирования файла приведен в подразделе Получение и добавление файла keytab). Каждая генерация keytab должна производиться в новый файл. При необходимости повторного использования имени файла существующий файл обязательно должен быть удален перед генерацией. Неважно, для какого узла создан keytab, необходимо само его наличие | | «Сервер FreeIPA» | FQDN ресурса, являющегося источником сведений о субъектах и их полномочиях | | «Проверка SSL» | Проверка использования SSL |
|
|
При добавлении второго домена аутентификации необходимо создать новый файл keytab и задать ему имя, отличное от уже существующего. Добавление второго домена аутентификации не отличается от добавления первого. |
нужно включить экспериментальный параметр experimental.2fa.enabled (см. подраздел Управление экспериментальными параметрами Termidesk). После включения параметра при переходе «Компоненты - Домены аутентификации» и нажатия экранной кнопки [Создать] появятся новые домены аутентификации: - «FreeIPA (, эксперим.)» - позволяет всем пользователям проходить двухфакторную аутентификацию;
- «FreeIPA (2FA, нативн., эксперим.)» - пользователям требуется вручную отправлять QR-код для настройки двухфакторной аутентификации.
Двухфакторная аутентификация доступна только при входе в Termidesk через веб-интерфейс. установить приложение FreeOTP Authenticator на мобильные устройства пользователей. Termidesk не реализует непосредственно механизм аутентификации. На контроллере домена FreeIPA должна быть подключена двухфакторная аутентификация, только после этого ее необходимо добавить в Termidesk, как приведено выше. |
|