Добавление аутентификации через FreeIPA

Для добавления аутентификации через FreeIPA администратору Termidesk следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «FreeIPA».

Далее необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Данные для добавления аутентификации через FreeIPA

ПараметрОписание
«Название»Текстовое наименование домена аутентификации
«Комментарий»Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях
«Приоритет»Преимущество использования домена аутентификации при проверке субъекта и его полномочий
«Метка»Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk
«Сервисный аккаунт»Название сервисного аккаунта, созданного при добавлении поставщика ресурсов
«Домен»Идентификатор области Kerberos для аутентификации
«Keytab»

Путь к файлу с ключами для сервисного аккаунта (пример формирования файла приведен в подразделе Получение и добавление файла keytab). Каждая генерация keytab должна производиться в новый файл. При необходимости повторного использования имени файла существующий файл обязательно должен быть удален перед генерацией.

Неважно, для какого узла создан keytab, необходимо само его наличие

«Сервер FreeIPA»FQDN ресурса, являющегося источником сведений о субъектах и их полномочиях
«Проверка SSL»Проверка использования SSL
«Группа администраторов»Название группы, членам которой предоставляются функции администрирования Termidesk

При добавлении второго домена аутентификации FreeIPA (или доменов, основанных на FreeIPA, например, программного комплекса «ALD PRO») необходимо создать новый файл keytab и задать ему имя, отличное от уже существующего. 

Добавление второго домена аутентификации не отличается от добавления первого.

При необходимости ввода в домен FreeIPA, развернутый на ОС Astra Linux Special Edition, ВРМ с другой гостевой ОС Linux, необходимо внести изменения в файл /usr/lib/python3.6/site-packages/ipalib/constants.py (см. подраздел Подготовка базового ВРМ).

Для возможности подключения двухфакторной аутентификации нужно включить экспериментальный параметр experimental.2fa.enabled (см. подраздел Управление экспериментальными параметрами Termidesk).

После включения параметра при переходе «Компоненты - Домены аутентификации» и нажатия экранной кнопки [Создать] появятся новые домены аутентификации:

  • «FreeIPA (2FA, эксперим.)» - позволяет всем пользователям проходить двухфакторную аутентификацию;
  • «FreeIPA (2FA, нативн., эксперим.)» - пользователям требуется вручную отправлять QR-код для настройки двухфакторной аутентификации.

Двухфакторная аутентификация доступна только при входе в Termidesk через веб-интерфейс. Для прохождения аутентификации необходимо установить приложение FreeOTP Authenticator на мобильные устройства пользователей.

Termidesk не реализует непосредственно механизм аутентификации. На контроллере домена FreeIPA должна быть подключена двухфакторная аутентификация, только после этого ее необходимо добавить в Termidesk, как приведено выше.