Особенности работы раздела «Доверие между доменами ALD Pro»
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Доверительные отношения(ДО) устанавливаются только между доменами одного уровня.

При создании ДО между двумя доменами **ALD Pro** может произойти пересечение диапазонов идентификаторов пользователей и групп пользователей (``uid`` и ``gid``), в следствии чего пользователи смогут получить несанкционированный доступ к ресурсам доверяющего домена.

**Пример:** имеются пользователь **user1** домена ``domain1.test`` с условным ``uid 10000`` и пользователь **user2** домена ``domain2.lan`` с таким же условным ``uid 10000``. Пользователь **user2** домена ``domain2.lan`` имеет доступ к папке ``ib_doc``, содержащей конфиденциальную информацию. При установлении ДО между доменами ``domain1.test`` и ``domain2.lan`` (как двусторонних, так и односторонних), пользователь **user1** получит доступ к папке ``ib_doc`` в домене ``domain2.lan``.

Отслеживание пересечений диапазонов ``uid`` и ``gid`` выполняется силами администратора домена.

В частном случае можно вручную переопределить ``uid`` или ``gid`` при пересечении диапазонов - на примере пользователя **test**, изменить ему ``uid`` на 5555

::

   [tbabej@vm-124 labtool]$ ipa idoverrideuser-add 'Default Trust View' testuser@tbad.idm.lab.eng.brq.redhat.com  --uid 5555
   -----------------------------------------------------------------
   Added User ID override "testuser@tbad.idm.lab.eng.brq.redhat.com"
   -----------------------------------------------------------------
     Anchor to override: testuser@tbad.idm.lab.eng.brq.redhat.com
     UID: 5555

Для того чтобы проверить переопределение:

::

   [tbabej@vm-124 labtool]$ sudo systemctl restart sssd
   [tbabej@vm-124 labtool]$ id testuser@tbad.idm.lab.eng.brq.redhat.com
   uid=5555(testuser@tbad.idm.lab.eng.brq.redhat.com) gid=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com) groups=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com),1218201425(test group@tbad.idm.lab.eng.brq.redhat.com),1218200513(domain users@tbad.idm.lab.eng.brq.redhat.com)

Аналогичным образом переопределяется ``GID`` или другие атрибуты, см. ``ipa idoverrideuser-add –help``.

Возникновение ошибки:

::

   Ошибка на удаленном сервере [имя сервера]: Сущность уже существует (424 FailedDependency)

В процессе создания доверительных отношений между доверяющим и доверенным доменами может возникнуть ситуация, когда на доверенном (удаленном) домене ДО были созданы, а на доверяющем - нет. Такая ситуация может произойти в случае сетевых проблем, возникновения ошибок с кодом 500 и т.д . Для решения данной ошибки администраторы доверенного (удаленного) домена должны удалить ДО в интерфейсе портала **ALD Pro**.

Особенности работы ДО в версиях ALSE 1.7.6 и 1.7.6uu1
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

При настройке двустороннего отношения доверия между двумя доменами **ALD Pro** невозможно авторизоваться в доверенном домене при работе **ALD Pro** на версиях **Astra Linux** 1.7.6 и 1.7.6uu1.

Для решения проблемы необходимо добавить (вручную или создать ГП) конфигурацию в ``/etc/krb5.conf`` раздел [capaths] для доверенного домена, следующего формата: 

.. code-block:: bash

   [capaths] 
   <ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = {
   <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ>  
      <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> 
   } 

Пример для конфигурации клиента домена ``pool-19.aldpro-team.astralinux.ru``

.. code-block:: bash

   [capaths]
   DOMEN-01.ALDPRO.TEST.RU = {  
   DOMEN-02.ALDPRO.TEST.RU = DOMEN-02.ALDPRO.TEST.RU  
      DOMEN-02.ALDPRO.TEST.RU = DOMEN-01.ALDPRO.TEST.RU
   }

Конфигурации необходимо добавить на все машины в домене, включая серверы.