Особенности работы раздела «Доверие между доменами ALD Pro»¶

Доверительные отношения(ДО) устанавливаются только между доменами одного уровня.

При создании ДО между двумя доменами ALD Pro может произойти пересечение диапазонов идентификаторов пользователей и групп пользователей (uid и gid), в следствии чего пользователи смогут получить несанкционированный доступ к ресурсам доверяющего домена.

Пример: имеются пользователь user1 домена domain1.test с условным uid 10000 и пользователь user2 домена domain2.lan с таким же условным uid 10000. Пользователь user2 домена domain2.lan имеет доступ к папке ib_doc, содержащей конфиденциальную информацию. При установлении ДО между доменами domain1.test и domain2.lan (как двусторонних, так и односторонних), пользователь user1 получит доступ к папке ib_doc в домене domain2.lan.

Отслеживание пересечений диапазонов uid и gid выполняется силами администратора домена.

В частном случае можно вручную переопределить uid или gid при пересечении диапазонов - на примере пользователя test, изменить ему uid на 5555

[tbabej@vm-124 labtool]$ ipa idoverrideuser-add 'Default Trust View' testuser@tbad.idm.lab.eng.brq.redhat.com  --uid 5555
-----------------------------------------------------------------
Added User ID override "testuser@tbad.idm.lab.eng.brq.redhat.com"
-----------------------------------------------------------------
  Anchor to override: testuser@tbad.idm.lab.eng.brq.redhat.com
  UID: 5555

Для того чтобы проверить переопределение:

[tbabej@vm-124 labtool]$ sudo systemctl restart sssd
[tbabej@vm-124 labtool]$ id testuser@tbad.idm.lab.eng.brq.redhat.com
uid=5555(testuser@tbad.idm.lab.eng.brq.redhat.com) gid=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com) groups=1218201156(testuser@tbad.idm.lab.eng.brq.redhat.com),1218201425(test group@tbad.idm.lab.eng.brq.redhat.com),1218200513(domain users@tbad.idm.lab.eng.brq.redhat.com)

Аналогичным образом переопределяется GID или другие атрибуты, см. ipa idoverrideuser-add –help.

Возникновение ошибки:

Ошибка на удаленном сервере [имя сервера]: Сущность уже существует (424 FailedDependency)

В процессе создания доверительных отношений между доверяющим и доверенным доменами может возникнуть ситуация, когда на доверенном (удаленном) домене ДО были созданы, а на доверяющем - нет. Такая ситуация может произойти в случае сетевых проблем, возникновения ошибок с кодом 500 и т.д . Для решения данной ошибки администраторы доверенного (удаленного) домена должны удалить ДО в интерфейсе портала ALD Pro.

Особенности работы ДО в версиях ALSE 1.7.6 и 1.7.6uu1¶

При настройке двустороннего отношения доверия между двумя доменами ALD Pro невозможно авторизоваться в доверенном домене при работе ALD Pro на версиях Astra Linux 1.7.6 и 1.7.6uu1.

Для решения проблемы необходимо добавить (вручную или создать ГП) конфигурацию в /etc/krb5.conf раздел [capaths] для доверенного домена, следующего формата:

[capaths]
<ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = {
<ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ>
   <ДОВЕРЕННЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ> = <ЛОКАЛЬНЫЙ ДОМЕН ЗАГЛАВНЫМИ БУКВАМИ>
}

Пример для конфигурации клиента домена pool-19.aldpro-team.astralinux.ru

[capaths]
DOMEN-01.ALDPRO.TEST.RU = {
DOMEN-02.ALDPRO.TEST.RU = DOMEN-02.ALDPRO.TEST.RU
   DOMEN-02.ALDPRO.TEST.RU = DOMEN-01.ALDPRO.TEST.RU
}

Конфигурации необходимо добавить на все машины в домене, включая серверы.