Присоединение к домену с помощью одноразового пароля

Чтобы при вводе компьютеров в домен уменьшить риск разглашения привилегированных учетных данных, в ALD Pro предусмотрена возможность ввода компьютера по одноразовому паролю.

Использование одноразовых паролей обладает несколькими преимуществами:

  • Учетная запись хоста может быть создана сразу в правильном организационном подразделении, чтобы на него распространялось действие необходимых групповых политик.

  • Учетную запись хоста можно сразу включить во все группы, чтобы на него распространялись необходимые правила HBAC и SUDO.

  • Для ввода машины в домен на стороне рабочей станции не нужно будет использовать пароль привилегированной учетной записи.

Для присоединения компьютера к домену с помощью одноразового пароля в ALD Pro используется графическая утилита aldpro-client-install.

  1. Необходимо создать учетную запись компьютера с помощью команды ipa host-add, используя ключ --random для генерации одноразового пароля:

kinit admin
ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force \--department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'

В результате выполнения получен одноразовый пароль, который необходимо сохранить для дальнейшего ввода компьютера в домен:

 admin@dc-1:~$ kinit admin
admin@dc-1:~$ ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force \    --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'
------------------------------------
Добавлен узел "pc-2.ald.company.lan"
------------------------------------
   Имя узла: pc-2.ald.company.lan
   Случайный пароль: 2LyXwGJItweZbvJP3LLqFCT

Где:

  • pc-2.ald.company.lan – FQDN имя компьютера в нижнем регистре;

  • --random – ключ, указывающий на требование сгенерировать случайный одноразовый пароль;

  • --ip-address – адрес компьютера для создания DNS записи в домене;

  • --force – ключ, позволяющий принудительно установить значение имени узла, даже если такое имя уже присутствует в DNS.

  1. Настроить компьютер pc-2:

  • Настроить IP-адрес: 10.0.1.52.

  • Установить репозитории ALSE и ALD Pro:

sudo vim /etc/apt/sources.list.d/aldpro.list

Вставить в файл ссылку на deb-репозиторий продукта:

deb https://dl.astralinux.ru/aldpro/frozen/01/3.0.0 1.7_x86-64 main base

  • Проверить доступ к dc-1 ping -c 2 dc-1 и интернет-репозиториям ping -c 2 dl.astralinux.ru

  • Обновить кэш apt и установить обновления:

sudo apt update && sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew

  • Установить клиентские библиотеки aldpro-client

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

  • Проверить отсутствие pc-2 в домене ald.company.lan:

localadmin@astra:~$ ping pc-2
ping: pc-2: Неизвестное имя или служба

  1. Запустить графическую утилиту ввода в домен aldpro-client-installer:

sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer

  1. Заполнить поля и выставить флаги:

  • наименование домена: ald.company.lan;

  • поле Учетная запись оставить пустым;

  • в поле Хост: pc-2;

  • в поле Пароль вставить одноразовый пароль из пункта 1;

  • обязательно поставить флаг Ввод в домен по паролю компьютера.

  1. Запустить процесс ввода кнопкой Добавить в домен. Нажать Да для подтверждения ввода.

Ввод компьютера в домен выполнен.