.. :validated: 3.2.0

.. _computer_input:

Ввод компьютера под управлением ALSE в домен
---------------------------------------------

Начиная с версии **ALD Pro** 3.2.0 для операционной системы **ALSE** процесс ввода компьютера в домен с помощью клиентской части был изменен.

1. Утилита ``aldpro-client-installer`` получила полностью обновленный графический интерфейс и новые ключи для работы в режиме командной строки;

2. Внедрен ряд проверок, выполняемых перед началом операции ввода в домен по-умолчанию;

3. Добавлена возможность выполнения ряда дополнительных проверок, активируемых новым ключом валидации;

4. Внедрен механизм отката изменений в системе в случае, если ввод в домен не завершен успешно, например из-за отсутствия необходимых привилегий;

5. Утилита получила функцию, с помощью которой можно проверить, располагает ли компьютер актуальным паролем от своей учетной записи в домене (проверка ``/etc/krb5.keytab``) и функцию обновления пароля;

6. Установлен лимит времени на установление сетевого соединения и ожидание ответа контроллера домена, обновлена справочная страница приложения, добавлено предложение о перезагрузке после успешной операции ввода в домен, и восстановлена работа ключа для автоматической перезагрузки;

7. Обновлены и дополнены тексты информационных сообщений и сообщений об ошибках.

Перед вводом в домен с помощью утилиты ``aldpro-client-installer`` независимо от режима использования рекомендуется ознакомиться с разделами :ref:`computer_input`, :ref:`Вывод компьютера из домена → Руководство администратора Часть 1 <domain-exit>`.

.. attention::

   При вводе в домен компьютера, на котором включен режим замкнутой программной среды, перед запуском скрипта ввода в домен необходимо выполнить перезагрузку компьютера.

Добавление компьютера в домен **ALD Pro** с помощью клиентской части - ``aldpro-client`` подразумевает использование утилиты ``aldpro-client-installer`` в режиме командной строки либо в графическом режиме. Для обоих режимов доступны:

- функция изменения имени хоста перед вводом в домен;
- ввод в домен по учетным данным доменного пользователя, обладающего необходимыми привилегиями;
- ввод в домен с помощью одноразового пароля хоста (требуется только право на запуск приложения без дополнительных привилегий) (подробнее см. :ref:`domain_command_line_mode` и :ref:`one_time_password_command_line_ALSE`);

- вывод хоста из домена (требуется только право на запуск приложения без дополнительных привилегий).

Для успешного ввода компьютера в домен требуется соблюдение нескольких условий:

- компьютеру необходимо присвоить уникальное имя в пределах домена, а также незанятый ip-адрес в соответствующей подсети (при способе ввода в домен по одноразовому паролю уникальность обеспечивается в момент создания учетной записи компьютера);
- имя хоста и содержимое ``/etc/hosts`` должны соответствовать установленным правилам (см. раздел :ref:`create_hostname`); 
- для успешного применения групповых политик сразу после ввода в домен имя хоста должно соответствовать содержимому файла ``/etc/hosts`` до начала ввода (см. раздел :ref:`Настройка содержимого файла /etc/hosts → Руководство администратора Часть 1 <etc_hosts_on_client>`);
- в качестве DNS-сервера должен быть указан IP-адрес контроллера домена;
- установлен пакет клиентского программного обеспечения ``aldpro-client``.

.. attention::

    Начиная с версии **ALD Pro 3.2.0** для операционной системы **ALSE** утилита ``aldpro-client-installer`` перед началом ввода выполняет ряд проверок с выдачей уведомлений или предупреждений:

    1. проверка прав пользователя при запуске: утилиту необходимо запускать от имени пользователя ``root``;
    2. проверка повторного запуска: одновременно может быть запущен только один экземпляр утилиты;
    3. проверка того, что в режиме командной строки переданы все обязательные параметры:
    
        a. ``-c (--domain)`` - полное имя домена в который требуется выполнить ввод;
        b. ``-u (--account)`` - логин привилегированной учетной записи с правами на ввод в домен;
        c. ``-p (--password)`` - пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста, если передан параметр ``--pc`` (если параметр не указан явно, то пароль будет запрашиваться в интерактивном режиме);
        d. ``-d (--host)`` - имя хоста;

    4. сравнение версий клиентской и серверной части **ALD Pro**
    5. проверка уникальности имени и IP-адреса хоста в домене
    6. проверка соответствия короткого имени и FQDN хоста содержимому файла ``/etc/hosts``.

Также с версии 3.2.0 утилита ``aldpro-client-installer`` может выполнять дополнительную валидацию перед вводом компьютера в домен.

В рамках валидации проверяются системные требования и корректность вводимых параметров, что позволяет заранее выявить несоответствия и снизить риск ошибок в процессе ввода. В графическом режиме проверки выполняются по умолчанию, а в режиме командной строки активируются параметром ``--validate``. К таким проверкам относятся:

1. проверка корректности имя хоста:

    a. локализация:

        - латинские буквы в нижнем регистре (a-z);
        - цифры (0-9);
        - допускается использование дефиса (-);

    b. ограничения:

        - первый и последний символ: только буквы (a-z) или цифры (0-9);

2. проверка короткого имени хоста как части (лейбла) FQDN:

    a. структура лейбла:

        - лейбл содержит от 1 до 63 символов;

    b. ограничения:

        - не допускаются два дефиса подряд;
        - не допускаются две точки подряд;
        - IP-адреса запрещены;
        - Первый и последний символ: только буквы (a-z) или цифры (0-9);

3. проверка ip-адреса:

    a. использование адреса 127.0.0.1 (``localhost``) запрещено;
    b. наличие внешнего ip-адреса;

4. проверка объема оперативной памяти (RAM):

    a. объем доступной оперативной памяти должен составлять не менее 2 ГБ;

5. проверка количества виртуальных процессоров (CPU):

    a. система должна иметь не менее двух виртуальных CPU;

6. проверка объема свободного места на диске:

    a. объем доступного места на диске должен составлять не менее 4 ГБ.

Проверить уникальность имени компьютера **pc-1** в домене **ald.company.lan** можно командой ``nslookup``:

.. code-block:: bash

   nslookup pc-1

С помощью данной команды проверяется, что хост с указанным именем не найден на DNS-сервере. Команда проверит не только имя **pc-1**, но и **pc-1.ald.company.lan**, т.к. в настройках **NetworkManager** на предыдущем шаге указан DNS-суффикс **ald.company.lan**.

Использование утилиты ``aldpro-client-installer`` в режиме командной строки и графическом режиме приведено в подразделах :ref:`domain_graphical_mode` и :ref:`domain_command_line_mode` соответственно.

.. _domain_graphical_mode:

Ввод в домен в графическом режиме для ОС ALSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Запуск утилиты ``aldpro-client-installer`` в графическом режиме осуществляется из меню **Пуск** → **ALD Pro** → **Ввод компьютера в домен ALD Pro**, либо с помощью команды в терминале:

.. code-block:: bash
    
    sudo aldpro-client-installer

.. important::

    Если при запуске утилиты в графическом режиме возникнет ошибка ``qt.qpa.xcb: could not connect to display :0``, значит имя хоста было изменено после входа в систему. В этом случае вам нужно перезапустить графическую сессию следующей командой ``sudo systemctl restart fly-dm``.

.. figure:: media/2.2.4_joining_a_domain.png
   :name: joining_a_domain
   :scale: 50

   Внешний вид графической утилиты aldpro-client-installer

С версии 3.2.0, утилита ``aldpro-client-installer`` не требует указания полного пути к исполняемому файлу при запуске приложения, а также предоставляет функцию изменения имени компьютера до начала ввода в домен. Для этого необходимо нажать кнопку **Изменить** напротив поля с именем компьютера, ввести новое имя и нажать **Ок**.

.. figure:: media/2.2.4_image1.png
   :name: image1
   :scale: 50

   Изменение имени компьютера в графическом режиме

.. important::

    Если имя компьютера было изменено, следует настроить содержимое файла ``/etc/hosts`` (см. :ref:`Настройка содержимого файла /etc/hosts → Руководство администратора Часть 1 <etc_hosts_on_client>`) до начала ввода в домен. В противном случае групповые политики не смогут быть корректно применены после завершения операции ввода.

После изменения имени компьютера работа с утилитой может быть продолжена, однако если приложение будет закрыто, то повторный запуск возможен только после перезапуска графической оболочки. Для этого можно:

- выйти из сессии и повторно войти в систему;
- перезагрузить компьютер.

Положение переключателя **Состояние** указывает на то, является ли компьютер участником домена на момент запуска утилиты. Если
компьютер введен в домен ранее — текстовое поле под переключателем **Участник домена ALD Pro** будет заполнено.

Для возможности запуска операции ввода в домен необходимо установить переключатель в положение **Участник домена ALD Pro** и ввести имя домена в текстовое поле после чего нажать кнопку **Ок**.

.. figure:: media/2.2.4_image2.png
   :name: image2
   :scale: 50

   Ввод имени домена

Утилита предоставляет возможность выбрать тип аутентификации:

1. с помощью учетных данных пользователя, обладающего правами на ввод в домен;
2. с помощью одноразового пароля компьютера.

Способ ввода по одноразовому паролю отличается для **ALSE** и альтернативных ОС и рассмотрен в разделах :ref:`domain_command_line_mode`, :ref:`one_time_password_command_line_ALSE` и :ref:`Ввод в домен с помощью одноразового пароля для альтернативных ОС → Руководство администратора Часть 1 <one_time_password_graphical_mode_alternative>` соответственно.

.. figure:: media/2.2.4_domain_authentication_window.png
   :name: 2.2.4_domain_authentication_window
   :scale: 50

   Окно Аутентификация в домене

Чтобы выполнить ввод от имени пользователя с правами на ввод в домен необходимо установить радиокнопку **Тип аутентификации** в положение **По учетным данным**, ввести учетные данные доменного пользователя после чего нажать кнопку **Ок**.

Выбрать организационное подразделение, в котором требуется создать учетную запись компьютера.

.. figure:: media/2.2.4_organizational_unit_selection_window.png
   :name: 2.2.4_organizational_unit_selection_window
   :scale: 50

   Окно выбора подразделения для ввода в домен

.. attention::

    С версии 3.2.0 утилита ``aldpro-client-installer`` требует наличия у пользователя более широкого перечня привилегий, подробнее см. раздел :ref:`utility_aldpro_client_installer`.

Роль, предоставляющая пользователю привилегии для ввода компьютера в домен, должна распространять свое действие на выбранное подразделение.

Для корректного завершения операции ввода в домен необходимо перезагрузить компьютер. Для этого можно подтвердить информационное сообщение с предложением перезагрузки, которое при успехе операции будет выведено автоматически.

Чтобы при вводе компьютеров в домен уменьшить риск разглашения привилегированных учетных данных, в **ALD Pro** предусмотрена возможность ввода компьютера по одноразовому паролю.

Использование одноразовых паролей обладает несколькими преимуществами:

* Учетная запись хоста создается заранее в необходимом организационном подразделении, что обеспечивает распространение на него действия групповых политик, назначенных на это подразделение.

* Учетную запись хоста можно сразу включить во все группы, чтобы на него распространялись необходимые правила HBAC и SUDO.

* Для ввода машины в домен на стороне рабочей станции не нужно будет использовать пароль привилегированной учетной записи. 

Способ ввода в домен по одноразовому паролю не требует наличия у пользователя дополнительных привилегий.

Для присоединения компьютера к домену с помощью одноразового пароля в **ALD Pro** используется графическая утилита ``aldpro-client-installer``.

Начиная с версии 3.2.0 утилита поддерживает такую возможность как в графическом режиме, так и в режиме командной строки. 

.. _domain_command_line_mode:

Ввод в домен с помощью одноразового пароля в графическом режиме для ОС ALSE
***************************************************************************

Для ввода с помощью одноразового пароля необходимо выполнить предварительные действия:

1. Необходимо создать учетную запись компьютера с помощью команды ``ipa host-add``, используя ключ ``--random`` для генерации одноразового пароля:

.. code-block:: bash

    kinit admin
    ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'

В результате выполнения получен одноразовый пароль, который необходимо сохранить для дальнейшего ввода компьютера в домен:

.. code-block:: bash

   kinit admin
   ipa host-add pc-2.ald.company.lan --random --ip-address=10.0.1.52 --force --department='ou=Московский офис,ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan'
   ------------------------------------
   Добавлен узел "pc-2.ald.company.lan"
   ------------------------------------
      Имя узла: pc-2.ald.company.lan
      Случайный пароль: 2LyXwGJItweZbvJP3LLqFCT

Где:

* ``pc-2.ald.company.lan`` – FQDN имя компьютера в нижнем регистре;
* ``--random`` – ключ, указывающий на требование сгенерировать случайный одноразовый пароль;
* ``--ip-address`` – адрес компьютера для создания DNS записи в домене;
* ``--force`` – ключ, позволяющий принудительно установить значение имени узла, даже если такое имя уже присутствует в DNS.

2. Настроить компьютер **pc-2**:

- Настроить IP-адрес: **10.0.1.52**;
- Установить репозитории **ALSE**, **ALD Pro** и клиентское приложение в соотвествии с разделом :ref:`configuring_repositories`;
- Проверить отсутствие **pc-2** в домене **ald.company.lan**:

.. code-block:: bash
    
    ping pc-2
    ping: pc-2: Неизвестное имя или служба

Далее в графическом режиме использование утилиты ``aldpro-client-installer`` выполнить действия:

1. Запустить утилиту через меню **Пуск** → **ALD Pro** → **Ввод компьютера в домен ALD Pro** или командой:

.. code-block:: bash

   sudo aldpro-client-installer

2. На начальном экране значение поля **Имя компьютера** будет автоматически заполнено коротким именем хоста, который можно проверить в выводе команды ``hostnamectl``. Перед тем как перейти к следующему шагу необходимо убедиться в соответствии значения этого поля и FQDN - имени учетной записи компьютера, созданной на шаге 1 предварительных действий.

3. Положение переключателя **Состояние** указывает на то, является ли компьютер участником домена на момент запуска утилиты. Необходимо убедиться, что переключатель находится в положении **Недоменный компьютер**. Если компьютер введен в домен ранее — поле под переключателем **Участник домена ALD Pro** будет заполнено.

Установить переключатель в положение **Участник домена ALD Pro**.

4. Ввести имя домена в поле под переключателем **Участник домена ALD Pro**, например, ``ald.company.lan``. Нажать кнопку **ОК**.

.. figure:: media/2.2.4_image2.png
    :name: image1
    :scale: 50

    Указание имени домена, в который вводится компьютер

5. В окне **Аутентификация в домене** установить переключатель **Тип аутентификации** в положение **По одноразовому паролю** и вставить одноразовый пароль, полученный на шаге 1 предварительных действий. Нажать кнопку **ОК**, чтобы начать присоединение компьютера к домену.

.. figure:: media/2.2.4_password.png
    :name: image2
    :scale: 50

    Окно Аутентификация в домене

6. После успешного выполнения операции хост будет присоединен к домену, а в появившемся окне будет отображено сообщение о статуса и предложение перезагрузить компьютер. Для успешного завершения ввода в домен это действие является обязательным, поэтому следует нажать кнопку **ОК**.

Ввод компьютера в домен выполнен.

Ввод в домен в режиме командной строки для ОС ALSE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

С версии 3.2.0 ``утилита aldpro-client-installer`` получила новый ключ ``--guiless``, который является синонимом для ключа ``-i (--gui)`` прежних версий. При использовании любого из этих ключей утилита запускается в режиме командной строки, а если ни один из них не указан, то в графическом режиме.

Для ввода компьютера в определенное организационное подразделение домена выполнить команду:

.. code-block:: bash

    sudo aldpro-client-installer --guiless --domain ald.company.lan --account admin --host pc-1 --orgunits "ou=ald.company.lan,cn=orgunits,cn=accounts,dc=ald,dc=company,dc=lan"

После ввода команды система запросит ввести пароль пользователя ``admin``.

Параметр ``--orgunits``, определяющий организационное подразделение, в которое будет выполнен ввод не является обязательным. Если он не был указан или целевое подразделение не обнаружено в каталоге, то ввод компьютера будет выполнен в корневое подразделение домена.

Рекомендуется использовать ключ ``--validate``, активирующий дополнительные проверки (см. перечень проверок в :ref:`computer_input`).

.. attention::

    Если применить ключ ``--force``, будут пропущены все проверки — как включенные по умолчанию, так и активируемые ключом ``--validate``.

    **Не рекомендуется применять ключ без необходимости, так как это может нарушить структуру домена и привести к нежелательным последствиям!**

Целесообразно применять ключ ``--force`` для принудительного ввода в домен компьютера, для которого в домене уже существует учетная запись. Требуется в тех случаях, когда администратор переустанавливает ОС и хочет ввести компьютер в домен с тем же именем.

Описание параметров командной строки доступно в :ref:`domain_parameters` или при выводе справочной информации в окне терминала:

.. code-block:: bash

    sudo aldpro-client-installer --help

.. _domain_parameters:

.. list-table:: Параметры командной строки aldpro-client-installer
   :widths: 20 25 55
   :header-rows: 1
   :class: longtable
   
   * - Основное название
     - Синонимы
     - Описание
   
   * - ``-r``
     - ``--reboot``
     - Автоматически перезагрузить систему после успешного выполнения операции ввода в домен или вывода из домена в режиме командной строки.
   
   * - ``-f``
     - ``--force``
     - Ввести в домен принудительно.
   
   * - ``-c``
     - ``--domain``
     - Полное имя домена, в который требуется выполнить ввод.
   
   * - ``-u``
     - ``--account``
     - Логин привилегированной учетной записи с правами на ввод в домен.
   
   * - ``-p``
     - ``--password``
     - Пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста (если передан параметр ``--pc``).
       
       Если параметр ``-p`` указан, то ему должен быть передан фактический аргумент в виде пароля в одинарных кавычках.
       
       Если параметр ``-p`` не указан, то пароль учетной записи пользователя с правами на ввод в домен будет запрошен в интерактивном режиме.
   
   * - ``-d``
     - ``--host``
     - Имя хоста.
   
   * - ``-R``
     - ``--remove``
     - Вывести хост из домена.
   
   * - 
     - ``--pc``
     - Использовать пароль как пароль компьютера; параметр ``-u`` при этом игнорируется.
   
   * - ``--unattended``
     - 
     - Подтвердить все некритичные предупреждения без участия пользователя. К таким относятся:
       
       сравнение версий клиентской и серверной части ALD Pro
   
   * - ``-i``
     - ``--guiless, --gui``
     - Запустить программу в режиме командной строки. Если ключ не указан - будет запущена графическая версия.
   
   * - ``-ou``
     - ``--orgunits``
     - Организационное подразделение домена, в которое будет введен хост.
   
   * - ``--validate``
     - 
     - Включить валидацию введенных значений и конфигурацию хоста.
   
   * - ``-h``
     - ``--help``
     - Вывод справки по параметрам командной строки.

Для корректного завершения операции ввода в домен необходимо перезагрузить компьютер.

.. _one_time_password_command_line_ALSE:

Ввод в домен с помощью одноразового пароля в режиме командной строки для ОС ALSE
********************************************************************************

Для ввода в домен с помощью одноразового пароля в режиме командной строки необходимо выполнить предварительные действия из раздела :ref:`domain_command_line_mode`.

Далее запустить утилиту ``aldpro-client-installer`` с указанием следующих параметров:

.. code-block:: bash

   sudo aldpro-client-installer --guiless -p '7ZsYNbXHN1pPih8P4IBQI7f' --pc

Список используемых ключей:

- ``--guiless`` (``-i``, ``--gui``) - запустить программу в режиме командной строки;

- ``-p`` (``--password``) - пароль учетной записи пользователя с правами на ввод в домен, или одноразовый пароль хоста (если передан параметр ``--pc``);

- ``--pc`` - использовать пароль как пароль компьютера; параметр ``-u`` (``--account``) при этом игнорируется.

Ключу ``-p`` в качестве фактического аргумента передается одноразовый пароль, полученный на шаге 1 предварительных действий подраздела :ref:`domain_command_line_mode`. 

.. important::

   Пароль должен быть заключен в одинарные кавычки.

При запуске команды начнется процесс присоединения хоста к домену, а после его успешного завершения в терминале будет отображено напоминание о необходимости перезагрузить компьютер. Для успешного завершения ввода в домен это действие является обязательным. 

Для автоматической перезагрузки после ввода в домен в команду следует добавить ключ ``-r`` (``--reboot``).

Ввод компьютера в домен выполнен.

Проверка наличия доверия с доменом
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

При вводе компьютера в домен для него создается учетная запись, пароль которой сохраняется в файле ``/etc/krb5.keytab``. Если компьютер располагает актуальным паролем от своей учетной записи в домене, это означает, что между компьютером и доменом установлены **Доверительные отношения** или **Доверие с доменом**. Доверие может быть утрачено, например, при восстановлении компьютера из старой резервной копии либо по истечении срока действия пароля хоста. В домене FreeIPA пароль компьютера автоматически не обновляется, поэтому в утилиту ``aldpro-client-installer`` с версии 3.2 встроен механизм для проверки и восстановления доверия с доменом.

Чтобы проверить актуальность пароля компьютера, необходимо нажать кнопку **Проверить** напротив имени домена. При наличии доверия с доменом в поле **Версия ключа и дата выдачи** будет отображено значение в следующем формате: <Версия пароля> <Дата изменения пароля> <Время изменения пароля>, а в поле **Доверие с доменом** будет выставлен статус **Установлено**.

Обновление пароля компьютера и восстановление доверия с доменом
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

При нажатии кнопки **Обновить** приложение выполнит запрос на установку компьютеру нового пароля и в случае успеха сохранит новую версию ключа в файл ``/etc/krb5.keytab``. Если в момент обновления пароля у компьютера будет доверие с доменом, то пароль будет обновлен из-под учетной записи компьютера автоматически. Если компьютер не будет располагать актуальным паролем, то для восстановления доверия потребуется ввести учетные данные администратора домена или любого другого пользователя, который обладает достаточными привилегиями.

.. figure:: media/2.2.4_updating_password.png
    :name: Обновление пароля компьютера
    :scale: 50

    Функция обновления пароля учетной записи компьютера домена

.. _utility_aldpro_client_installer:

Необходимые привилегии для ввода компьютера в домен под управлением ALSE с помощью утилиты aldpro-client-installer
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Права доступа в службе каталога FreeIPA назначаются с помощью трехуровневой модели безопасности, которая включает в себя Роли (Roles), Привилегии (Privileges) и Разрешения (Permissions). На базовом уровне разрешениям соответствуют инструкции управления доступом 389 Directory Server (Access Control Instructions, ACI), с помощью которых можно предоставить доступ на чтение, запись, поиск и другие действия применительно ко всему каталогу, его ветке или конкретной записи. Разрешения группируются в привилегии, привилегии группируются в роли, а роли уже назначаются пользователям.

Для делегирования доменным пользователям полномочий на ввод компьютеров в любое подразделение домена выполнить следующие шаги:

1. С помощью портала управления создать новую роль, например ``New Host Enrollment Administrator`` и назначить ее на корневое подразделение. Установить чекбокс **Включая дочерние подразделения**;
2. Включить в состав роли привилегии **ALD Pro** (включая все связанные):

   - ``Domain Info - Read``;
   - ``Computers - Delete``;

3. Создать привилегию FreeIPA с помощью команды:

.. code-block:: bash

  ipa privilege-add 'New Host Enrollment' --desc='Привилегия для ввода новых хостов в домен'

4. Добавить в созданную привилегию FreeIPA следующие разрешения:

.. code-block:: bash

  ipa privilege-add-permission 'New Host Enrollment' \
  --permissions='System: Add Hosts' \
  --permissions='System: Add krbPrincipalName to a Host' \
  --permissions='System: Enroll a Host' \
  --permissions='System: Manage Host Certificates' \
  --permissions='System: Manage Host Enrollment Password' \
  --permissions='System: Manage Host Keytab' \
  --permissions='System: Manage Host Principals'

5. Добавить созданную на шаге 3 привилегию в роль, созданную на шаге 1:

.. code-block:: bash

  ipa role-add-privilege 'New Host Enrollment Administrator' \
  --privileges='New Host Enrollment'

6. После создания новой роли ее необходимо активировать через веб-интерфейс на странице **Управление доменом → Роли и права доступа → Роли в системе**.

После назначения роли ``New Host Enrollment Administrator`` пользователь сможет вводить машины в домен, не получая при этом полных административных прав.