База знаний по категориям
Настройка доменной авторизации для Dallas Lock Linux (сборка 3.25.21).
Для корректного взаимодействия доменных пользователей и СЗИ НСД обязательно, чтобы АРМ было введено в домен средствами ОС!
Предварительная подготовка.
1. Для работы с доменными учетными записями (регистрация, авторизация и т. д.) необходимо убедиться в том, что настройки сети корректны и имя домена доступно по сети (необходимо проверить доступность имени домена с указанием имени АРМ, являющегося контроллером домена, — <hostname>.<domain> и без указания имениэтого АРМ — <domain>). Это можно сделать с помощью команды ping:
ping <hostname.domain>
ping <domain>
2. Контроллер домена должен быть доступен по сети как по IP-адресу, так и по FQDN. Если в сети несколько контроллеров домена, их FQDN и IP-адреса должны быть указаны в разделе URL файла /etc/ldap/ldap.conf
3. С помощью команды nslookup проверить разрешение имен:
nslookup <ip адрес контроллера домена>
nslookup <FQDN имя контроллера домена>
4. Необходимо в конфигурационном файле Kerberos ¾krb5.conf указать, что kerberos-тикеты пользователей должны храниться в ядре ОС:
1. Открыть /etc/krb.5.conf с правами суперпользователя (root).
2. В файле /etc/krb.5.conf в разделе [libdefalts] прописать default_ccache_name = KEYRING:persistent:%{uid}
Регистрация доменной учетной записи.
Порядок действий при использовании графической оболочки администрирования:
1. Для проверки статуса домена с помощью графической оболочки необходимо открыть окно «Статус домена», вызвав его из списка дополнительных функций кнопки главного меню.
2. В открывшемся окне авторизации ввести логин и пароль администратора домена. Логин указать в формате domainname\user name.
В случае если связь с контроллером домена установлена, то откроется окно «Статус», в строке «Статус связи с доменом» будет указано «Связь установлена».
3. Для регистрации учетной записи доменного пользователя нужно открыть вкладку «Пользователи» -> «Учетные записи» и нажать кнопку «Создать».
4. В открывшемся окне выбрать нужный домен или символ *
В случае выбора символа * будет зарегистрирована учетная запись *\*, которая разрешает авторизацию на АРМ всем пользователям домена. Возможна регистрация в формате domain name\*, в данном случае будет разрешена авторизация всем пользователям указанного домена.
В случае если нужно зарегистрировать конкретную учетную запись, то нужно выбрать домен, далее в строке поиска ввести имя нужной УЗ и нажать на иконку «Лупа», либо не вводить имя УЗ и нажать на иконку «Лупа», в данном случае отобразится весь список доменных УЗ, и нужно будет выбрать нужную.
5. После выбора нужной УЗ откроется окно свойств УЗ, где можно установить некоторые доступные параметры.
6. Для завершения регистрации нажать кнопку «Применить».