Двусторонние доверительные отношения на уровне Kerberos

Под двусторонними доверительными отношениями ALD Pro (FreeIPA) и Windows Active Directory на уровне Kerberos подразумевается, что возможна только взаимная аутентификация пользователей. Однако назначение прав доступа (авторизация) при этом не выполняется (в частности, недоступна информация об участии пользователей в группах). Для функционирования доверительных отношений на уровне Kerberos использование Глобального Каталога (Global Catalog) не требуется.

Глобальный Каталог (Global Catalog)

Поддержка Глобального Каталога необходима для того, чтобы при выполнении авторизации был доступны объекты из доверенного домена. Глобальный Каталог поддерживается в ALD Pro начиная с версии ХХХ (FreeIPA начиная с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10 с установленным обновлением 1.7.4).

В более ранних обновлениях, когда Глобальный Каталог недоступен, для управления доступом можно:

1. Назначать доступ напрямую по идентификатору безопасности объекта (SID). Если каталогу Microcoft WindowsS назначить права доступа пользователю/группе из домена ALD Pro (FreeIPA) по SID, то при открытии свойств папки в интерфейсе будет доступно имя пользователя, т.к. преобразование SID в имя выполняется через RPC вызов по транспорту SMB, который выполняет LDAP запрос.
2. Создать в домене Microsoft AD группу безопасности с областью действия (scoupe) Domain Local, добавить в нее SID объектов доверенного домена ALD Pro (FreeIPA), и использовать эту группу в оснастках MS Windows для назначения прав доступа.