Добавление аутентификации через FreeIPALink to Добавление аутентификации через FreeIPA

Для добавления в графическом интерфейсе управления следует перейти «Компоненты - Домены аутентификации», затем нажать экранную кнопку [Новый] и выбрать из выпадающего списка «FreeIPA».

Для добавления в Termidesk аутентификации через FreeIPA администратору Termidesk необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Данные для добавления аутентификации через FreeIPA

Параметр
Описание
«Название»Текстовое наименование домена аутентификации
«Комментарий»Информационное сообщение, используемое для описания назначения источника сведений о субъектах и их полномочиях
«Приоритет»Преимущество использования домена аутентификации при проверке субъекта и его полномочий
«Метка»Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk
«Сервисный аккаунт»Название сервисного аккаунта, созданного при добавлении поставщика ресурсов ПК СВ Брест
«Домен»Идентификатор области Kerberos для аутентификации
«Keytab»

Путь к файлу с ключами для сервисного аккаунта (пример формирования файла приведен в подразделе Добавление поставщика ресурсов ПК СВ Брест). Каждая генерация keytab должна производиться в новый файл. При необходимости повторного использования имени файла существующий файл обязательно должен быть удален перед генерацией.

Неважно, для какого узла создан keytab, необходимо само его наличие

«Сервер FreeIPA»FQDN ресурса, являющегося источником сведений о субъектах и их полномочиях
«Проверка SSL»Проверка использования SSL
«Группа администраторов»Название группы, членам которой предоставляются функции администрирования Termidesk

При добавлении второго домена аутентификации FreeIPA (или доменов, основанных на FreeIPA, например, программного комплекса «ALD PRO») необходимо создать новый файл keytab и задать ему имя, отличное от уже существующего. 

Добавление второго домена аутентификации не отличается от добавления первого.

При необходимости ввода в домен FreeIPA, развернутый на ОС Astra Linux Special Edition, ВРМ с другой гостевой ОС Linux, необходимо внести изменения в файл /usr/lib/python3.6/site-packages/ipalib/constants.py (см. подраздел Подготовка базового ВРМ).

Для возможности подключения двухфакторной аутентификации нужно включить экспериментальный параметр experimental.2fa.enabled (см. подраздел Управление экспериментальными параметрами Termidesk).

После включения параметра при переходе «Компоненты - Домены аутентификации» и нажатия экранной кнопки [Новый] появятся новые домены аутентификации «FreeIPA, эксперим.» и «FreeIPA, нативн., эксперим.».

Termidesk не реализует непосредственно механизм аутентификации. На контроллере домена FreeIPA должна быть подключена двухфакторная аутентификация, только после этого ее необходимо добавить в Termidesk, как приведено выше.