Справочный центр ALD Pro
Доверие между доменами ALD Pro¶
Доверие между доменами ALD Pro представляет собой инструмент создания доверительных отношений между доменами ALD Pro, одного уровня.
Отношения доверия обеспечивают доступ в одном или двух направлениях:
Одностороннее доверие позволяет пользователям и группам из домена Б получать доступ к ресурсам в домене А, но не наоборот. Домен A доверяет домену Б, но домен Б не доверяет домену A. При создании такого доверия в интерфейсе ALD Pro будут созданы исходящие доверительные отношения;
Двустороннее доверие позволяет пользователям и группам из домена A получать доступ к ресурсам в домене Б и наоборот. Запросы проверки подлинности могут передаваться между двумя доменами в обоих направлениях. Домен А доверяет домену Б, а домен Б доверяет домену А.
Доверительные отношения между доменами позволяют:
Авторизацию пользователей доверенных доменов на компьютерах доверяющих доменов;
Доступ к сетевым ресурсам доверяющего домена пользователям доверенного домена;
Разграничение доступа к ресурсам доверяющего домена.
Интерфейс раздела “Доверие между доменами ALD Pro” состоит из одного подраздела - “Подключение к доменам ALD Pro”.
Важно
Создание доверительных отношений между доменами ALD Pro на портале управления без патчей sssd и freeipa из личного кабинета может привести к сбоям в работе samba.
Особенности работы раздела «Доверие между доменами ALD Pro»¶
Доверительные отношения(ДО) устанавливаются только между доменами одного уровня.
При создании ДО между двумя доменами ALD Pro может произойти пересечение диапазонов идентификаторов пользователей и групп пользователей (uid и gid), в следствии чего пользователи смогут получить несанкционированный доступ к ресурсам доверяющего домена.
Пример: имеются пользователь user1 домена domain1.test с условным uid 10000 и пользователь user2 домена domain2.lan с таким же условным uid 10000. Пользователь user2 домена domain2.lan имеет доступ к папке ib_doc, содержащей конфиденциальную информацию. При установлении ДО между доменами domain1.test и domain2.lan (как двусторонних, так и односторонних), пользователь user1 получит доступ к папке ib_doc в домене domain2.lan.
Отслеживание пересечений диапазонов uid и gid выполняется силами администратора домена.
В частном случае можно вручную переопределить uid или gid при пересечении диапазонов - на примере пользователя test, изменить ему uid на 5555
[tbabej@vm-124 labtool]$ ipa idoverrideuser-add 'Default Trust View' testuser@tbad.idm.lab.eng.brq.redhat.com --uid 5555
-----------------------------------------------------------------
Added User ID override "testuser@tbad.idm.lab.eng.brq.redhat.com"
-----------------------------------------------------------------
Anchor to override: testuser@tbad.idm.lab.eng.brq.redhat.com
UID: 5555
Для того чтобы проверить переопределение:
[tbabej@vm-124 labtool]$ sudo systemctl restart sssd
[tbabej@vm-124 labtool]$ id testuser@tbad.idm.lab.eng.brq.redhat.com
uid=5555(testuser@tbad.idm.lab.eng.brq.redhat.com) gid=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com) groups=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com),1218201425(test group@tbad.idm.lab.eng.brq.redhat.com),1218200513(domain users@tbad.idm.lab.eng.brq.redhat.com)
Аналогичным образом переопределяется GID или другие атрибуты, см. ipa idoverrideuser-add –help.
Возникновение ошибки:
Ошибка на удаленном сервере [имя сервера]: Сущность уже существует (424 FailedDependency)
В процессе создания доверительных отношений между доверяющим и доверенным доменами может возникнуть ситуация, когда на доверенном (удаленном) домене ДО были созданы, а на доверяющем - нет. Такая ситуация может произойти в случае сетевых проблем, возникновения ошибок с кодом 500 и т.д . Для решения данной ошибки администраторы доверенного (удаленного) домена должны удалить ДО в интерфейсе портала ALD Pro.
Особенности работы ДО в версиях ALSE 1.7.6 и 1.7.6uu1¶
При настройке двустороннего отношения доверия между двумя доменами ALD Pro невозможно авторизоваться в доверенном домене при работе ALD Pro на версиях Astra Linux 1.7.6 и 1.7.6uu1.
Для решения проблемы необходимо добавить (вручную или создать ГП) конфигурацию в /etc/krb5.conf раздел [capaths] для доверенного домена, следующего формата:
[capaths]
<ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = {
<ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ>
<ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ>
}
Пример для конфигурации клиента домена pool-19.aldpro-team.astralinux.ru
[capaths]
DOMEN-01.ALDPRO.TEST.RU = {
DOMEN-02.ALDPRO.TEST.RU = DOMEN-02.ALDPRO.TEST.RU
DOMEN-02.ALDPRO.TEST.RU = DOMEN-01.ALDPRO.TEST.RU
}
Конфигурации необходимо добавить на все машины в домене, включая серверы.
Настройка доверия между доменами ALD Pro¶
Групповая политика¶
Перед настройкой доверительных отношений, необходимо создать групповую политику, которая будет действовать на объекты, на которых происходит аутентификация пользователей другого домена (клиенты, контроллер домена).
При создании групповой политики необходимо отключить FAST аутентификацию (Групповые политики -> имя групповой политики -> Параметры компьютера -> Безопасность -> FAST аутентификация).
Подключение к доменам ALD Pro¶
В подразделе представлены функции создания, удаления и просмотра доверительных отношений.
Создание нового подключения ALD Pro¶
Для создания нового подключения ALD Pro необходимо нажать на кнопку [+ Новое подключение ALD Pro].
На открывшейся карточке необходимо заполнить обязательные поля Домен, Тип доверия, Учетная запись для доверительных отношений и Пароль пользователя .
Учетная запись для доверительных отношений должна принадлежать домену, с которым устанавливаются ДО и обладать одной из ролей: ALDPRO - IT Security Specialist, ALDPRO - Main Administrator.
Для сохранения нового подключения ALD Pro необходимо нажать на кнопку сохранения. Будет выполнен переход к вкладке подключений доменов ALD Pro.
Для закрытия карточки создания нового подключения ALD Pro и возврата к вкладке подключений доменов ALD Pro нажать на кнопку [Закрыть].
Важно
Существующие подключения между доменами ALD Pro недоступны для редактирования, так как при установке ДО логин и пароль используются единожды, в момент установки ДО. Все остальные поля доступны к просмотру в списке подключений ALD Pro.
Удаление подключения ALD Pro¶
Для удаления подключения ALD Pro необходимо в списке подключений ALD Pro напротив конкретного подключения нажать кнопку с иконкой корзины.
После, для подтверждения удаления подключения, необходимо ввести логин и пароль учетной записи, обладающей привилегией управления ДО для домена, с которым установлены доверительные отношения.
После подтверждения операции (нажатия кнопки [Удалить]) и удаления подключения ALD Pro произойдет переход к списку подключений ALD Pro. Удаление ДО на доверающем домене так же удалит их и на стороне доверенного.
В случае выбора кнопки [Отмена] удаление подключения ALD Pro не будет выполнено и произойдет переход к списку подключений ALD Pro.
Дополнительные настройки файла конфигурации SSSD¶
После установления доверительных отношений между доменами ALD Pro для корректной обработки входа в графический интерфейс ОС необходимо внести в файл конфигурации дополнительные параметры. Изменения вносятся в файл конфигурации на каждом контроллере домена (включая все реплики), с которого выполняется запрос ресурсов доверяющих доменов. В случае двусторонних отношений изменяем файл конфигурации для обоих доменов.
На контроллере домена ALD Pro добавить раздел в файле /etc/sssd/sssd.conf в формате: [domain/main_domain/trusted_domain], где main_domain - имя домена ALD Pro, trusted_domain - имя домена с которым установлены доверительные отношения. Раздел может содержать следующие параметры:
ad_server - имена хостов серверов домена, с которым установлены доверительные отношения, к которым может подключиться SSSD. Имена хостов перечисляются в одну строку, в порядке приоритета и разделяются запятыми.
Требования к формату записи строки параметров:
между запятыми может быть любое количество пробелов
переносить параметры на новую строку запрещено. в том числе запрещено использовать символ конкантенации строк
\запрещено использовать символы шаблонов имен файлов (
*,$, и другие)
ad_backup_server (опционально) - данный список используется после того, как сервера из списка ad_server не отвечают.
Требования к формату аналогичны требованиям к ad_server.
ad_site - список сайтов, к которым клиент может подключаться.
Пример дополнительных параметров:
[domain/domain1.lan/domain2.test]
ad_server = dc01.domain2.test
ad_backup_server = dc01.domain2.test
ad_site = pool.domain2.test
После внесения изменений в файл конфигурации необходимо перезапустить службу sssd на каждом контроллере домена (включая все реплики).
Перечень ошибок, возникающих при работе с доверительными отношениями¶
Код |
Текущий код ошибки |
Текст ошибки |
|---|---|---|
403 |
DeniedError |
Отсутствуют права на выполнение данной операции |
500 |
ProjectError |
The DNS response does not contain an answer to the question |
500 |
ProjectError |
Нельзя создать/удалить доверие с самим собой |
500 |
ProjectError |
Домен для доверительных отношений не найден |
500 |
ProjectError |
NS-запись домена |
500 |
ProjectError |
Не удалось получить данные локального домена |
500 |
ProjectError |
Не удалось получить записи LDAP для контроллеров удаленного домена |
500 |
ProjectError |
Диапазон id объектов для |
500 |
ProjectError |
IP |
500 |
ProjectError |
При создании принципала |
500 |
ProjectError |
При создании принципала |
500 |
ProjectError |
При создании привилегированной УЗ |
500 |
ProjectError |
Сущность уже существует |
424 |
FailedDependency |
Ошибка на удаленном сервере [имя сервера]: Сущность уже существует |
424 |
FailedDependency |
Не удалось подключиться ни к одному доступному серверу удаленного домена |
424 |
FailedDependency |
Ошибка на удаленном сервере |
424 |
FailedDependency |
Ошибка на удаленном сервере |
424 |
FailedDependency |
Ошибка на удаленном сервере |