Настройка технологии единого входа для Kerberos-аутентификации

Единый вход для Kerberos-аутентификации поддерживается для сценариев:

  • протокол RDP:
    • подключение из ОС Astra Linux Special Edition в гостевую ОС Microsoft Windows и терминальный сервер MS RDSH;
    • подключение из ОС Microsoft Windows в гостевую ОС Microsoft Windows и терминальный сервер MS RDSH;
  • протокол TERA:
    • подключение из ОС Astra Linux Special Edition в гостевую ОС Astra Linux Special Edition;
    • подключение из ОС Microsoft Windows в гостевую ОС Astra Linux Special Edition.

Работа для гостевой ОС Astra Linux Special Edition 1.7 (в частности 1.7.8) не гарантируется ввиду отсутствия в составе репозитория модуля проверки подлинности пользователя с помощью GSSAPI совместно с SSSD (pam_sss_gss.so).

Настройка TERA для Kerberos-аутентификации приведена в подразделе Настройка Kerberos-аутентификации документа СЛЕТ.10001-01 90 08 «Руководство администратора. Настройка компонента TERA».

Для корректной аутентификации гостевая ОС:

  • должна быть введена в соответствующий домен аутентификации Kerberos, используемый в ферме Termidesk и указанный в «Портале администратора». Настройка ввода в домен осуществляется из «Параметров гостевых ОС» в «Портале администратора»;
  • должна быть предварительно настроена согласно описанию ниже.

Технология единого входа управляется политикой фонда РМ «Автоматический вход в систему при подключении к РМ (RDP, SPICE, TERA)» (см. Политики).  

Для гостевой ОС Astra Linux Special Edition 1.8:

  • убедиться, что в файле конфигурации службы sssd (/etc/sssd/conf.d/*.conf) заданы строки в секции настроек домена (если строк нет, то добавить):
ad_gpo_access_control = permissive
ad_gpo_ignore_unreadable = True
pam_gssapi_services = fly-dm
BASH
  • убедиться, что в файле профиля PAM /etc/pam.d/fly-dm задана строка перед @include common-auth (если ее нет, то добавить):
auth sufficient pam_sss_gss.so
BASH

Для гостевой ОС Microsoft Windows (в том числе для терминального сервера MS RDSH) нужно настроить делегирование учетных данных:

  • либо через групповую политику:
    • открыть редактор групповой политики;
    • перейти «Конфигурации компьютера - Административные шаблоны - Система - Передача учетных данных («Computer Configuration - Administrative Templates - System - Credentials Delegation» в английской локализации);
    • задать параметру «Удаленный узел позволяет делегирование неэскортируемых учетных данных» значение «Включена» («Remote host allows delegation of nonexportable credentials» значение «Enabled» в английской локализации);
  • либо через реестр ОС Microsoft Windows, если настройка групповой политики по каким-либо причинам не применима:
    • открыть реестр и перейти к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
    • назначить параметру DisableRestrictedAdmin значение 0 (тип REG_DWORD).