Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) с установленным обновлением 1.7.4
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7) с установленным обновлением 1.7.4
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7) с установленным обновлением 4.7.4
Двусторонние доверительные отношения на уровне Kerberos
Двусторонние доверительные отношения между доменами FreeIPA и Windows Active Directory на уровне Kerberos позволяют обеспечить взаимную аутентификацию пользователей. Пользователи Windows получают возможность обращаться к ресурсам домена FreeIPA и наоборот. Однако одних только доверительных отношений на уровне Kerberos недостаточно для того, чтобы можно было назначать права доступа на стороне Windows (настраивать авторизацию), так как стандартные оснастки Windows выполняют поиск пользователей доверенного леса через обращение к сервису Глобально Каталога (Global Catalog), которого на стороне службы каталога FreeIPA нет. В службе каталога ALD Pro сервис Глобального Каталога появился начиная с версии ALD Pro 2.1.
Глобальный Каталог (Global Catalog)
Поддержка Глобального Каталога необходима для того, чтобы можно было настраивать права доступа к объектам из доверенного домена. Глобальный Каталог поддерживается в ALD Pro начиная с версии 2.1 на базе FreeIPA из состава Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7 с установленным обновлением 1.7.4 и выше).
В более ранних обновлениях, когда Глобальный Каталог недоступен, для управления доступом можно:
Назначать доступ напрямую по идентификатору безопасности объекта (SID), например:
В этом случае при открытии свойств папки в интерфейсе будет доступно имя пользователя, т.к. преобразование SID в имя выполняется через RPC-вызов по транспорту SMB, и данная возможность поддерживается на стороне FreeIPA.PS C:\Users\Administrator> ICACLS "C:\Common" /grant:r "*S-1-5-21-1724891028-2898148248-1736958143-1005:(OI)(CI)F" /T
Создать в домене Microsoft AD группу безопасности с областью действия (scoupe) Domain Local, добавив в нее SID объектов доверенного домена ALD Pro (FreeIPA), и использовать эту группу в оснастках MS Windows для назначения прав доступа. Например:
#SID Из леса ALD_Pro(Пользователь или группа) $AldSid = 'S-1-5-21-1784717832-1844364183-3442789864-1013' #Domain Local Group из леса Active Directory $DomainLocalGroupDN = 'CN=Contoso-Group-DL,CN=Users,DC=contoso,DC=dom' #Создание нового Directory Entry $group = New-Object DirectoryServices.DirectoryEntry("LDAP://$($DomainLocalGroupDN)") #Добавление AldSid в DomainLocal группу [void]$group.member.Add("<SID=$AldSid>") $group.CommitChanges()