Comments 25
Всё это конечно здорово. Но у меня остается вопрос на который мне, увы, не ответили в вашем авторизованном учебном центре- примеры успешной миграции крупного бизнеса (энтерпрайз) на это решение есть? не на уровне второго домена и отношений между ними, а когда предприятие погасила все контроллеры домена AD и функцию полностью взял ldp pro
Напоминает мне всё это достижения российской промышленности. Разово, штучно сделать могут, хоть и с привлечением 90% мирового опыта - Камазы на Даккаре, а как речь про выпуск стабильной, надёжной, удобной и конкурентной по цене массовой модели, так фиг.
Так и тут. Один раз блоху подковать можно, даже попрыгает. А как тиражировать, то левшей не напасёшься. Не, спасибо. ADDS пока что вне конкуренции.
Как-то очень непривычно видеть корпоративные клиенты Windows с доступом в домен, но без GPOs из AD. Через что политики раскатывать-то и как энфорсить состояние?
Кстати интересно, а что если сделать sysvol шару на ДК ALD и в нее загрузить admx шаблоны и политики....
На контроллерах домена FreeIPA есть компонент Samba для совместимости с MS AD, поэтому общую папку SYSVOL создать довольно просто. Но вот объекты групповых политик MS AD включают не только шаблоны групповых политик (GPT), но и контейнеры групповых политик (GPC), которые хранятся в LDAP-каталоге. А есть еще назначения объектов на структурные подразделения (GP Links) и ряд других особенностей. Поэтому проще будет собрать агента групповых политик ALD Pro под Windows и написать универсальный параметр групповых политик Salt для установки необходимых ключей реестра.
Спасибо за статью, как раз пытаюсь сделать подобное, везде какая то устаревшая информация.
Есть ли возможность к Freeipa и Windows прикрутить двухфакторную авторизацию или по сертификату/аппаратному ключу?
Мы рады, что результаты наших исследований оказались вам полезны. В части двухфакторной аутентификации уже реализована интеграция с продуктом Aladdin eCA, которая позволит вам использовать Kerberos аутентификацию с использованием JaCarta токенов.
И на Windows можно аутентифицироваться по токену?
Сделал все по вашему гайду, но, к сожалению, не работает ничего. По логам видно что на сервер Freeipa приходит запрос по Kerberos, и он даже отвечает что-то клиенту на Windows, но windows упорно отклоняет авторизацию с сообщением "Неверное имя пользователя или пароль". В audit логе отказ идет с непонятной причиной. При этом явно пароль правильный, так как если ввести что-то другое, то ответ сервера Kerberos меняется на другой.
Пробовал и через вашу утилиту настроить, и руками. Кстати в вашей инструкции этого нет, но по факту ваша утилита еще и алиас для имени хоста добавляет со знаком $ в конце.
Уточните, пожалуйста, какая версия Freeipa использовалась у вас когда вы делали эту инструкцию и какие настройки сервера были? Надо для этого модуль adtrust устанавливать и настраивать?
Здравствуйте!
Да, adtrust должен быть установлен, именно этот модуль обеспечивает создание идентификаторов в стиле Windows, которые необходимы для формирования PAC сертификата.
Что касается элиаса, то в статье говорится о необходимости добавления алиаса и даже приводится пример команды:
Операционная система Windows тоже поддерживает указанный протокол. Только есть одно маленькое недоразумение, из-за которого ничего не работает: компьютер использует имя принципала в другом формате, поэтому без добавления псевдонима «desktop-7vkreuo$» к учетной записи компьютера хост сможет выполнять только проверку аутентичности пользователей. У него не получится самому пройти аутентификацию в домене, и в журналах будут появляться сообщения об ошибке «CLIENT_NOT_FOUN
Спасибо за ответ. Видно не внимательно читал и про алиас не увидел. Увидел только по логам сервера Kerberos. Ваша утилита все сама делает, что надо. Но к сожалению все равно не работает вот с такой ошибкой:
Субъект:
ИД безопасности: СИСТЕМА
Имя учетной записи: WIN2$
Домен учетной записи: UN
Код входа: 0x3E7
Тип входа: 2
Учетная запись, которой не удалось выполнить вход:
ИД безопасности: NULL SID
Имя учетной записи: test2
Домен учетной записи: UN.TEST
Сведения об ошибке:
Причина ошибки: Ошибка при входе.
Состояние: 0xC000006D
Подсостояние: 0x0
В первую очередь проверьте, что в домене у пользователей появился PAC-сертификат.
Изучить содержимое PAC сертификата можно с помощью утилиты /usr/bin/net из пакета samba-common-bin. Данная утилита позволяет выполнить Kerberos-аутентификацию, получить TGS-билет на указанный сервис и выполнить расшифровку его PAC-сертификата с помощью пароля из keytab файла этого сервиса. Запускать утилиту нужно с привилегиями супер-пользователя.
Например, следующая команда выполняет Kerberos аутентификацию пользователем test2, получает для него сервисный билет для аутентификации на компьютере host/dc-1.un.test и выполняет расшифровку PAC-сертификата, используя пароль, который находится в keytab файле /etc/krb5.keytab
sudo net ads kerberos pac dump -U test2 local_service=host/dc-1.un.test@UN.TEST --option='kerberos method = dedicated keytab' --option='dedicated keytab file = FILE:/etc/krb5.keytab' -s /dev/null --option='realm = UN.TEST'
Параметр «-s /dev/null» позволяет запустить утилиту «net», не используя настройки из smb.conf, что необходимо, если в домене установлены доверительные отношения с MS Active Directory. Но в этом случае нужно обязательно задать параметр realm.
Параметр «dedicated keytab file» позволяет указать путь к keytab-файлу. Если в «local_service» использовать учетную запись хоста, то в параметре «kerberos method» можно указать просто «system keytab», и параметр «dedicated keytab file» будет не нужен, путь к файлу будет определяться автоматически.
Вообще, это достаточно сложный open source, поэтому нюансов действительно много. Не все их можно объять в одной статье, чтобы не превратить ее в библию Linux-администратора :)
Именно поэтому у нас есть инженеры технической поддержки, которые позволяют диагностировать проблемы. И продуктовые команды, которые подключаются, если для решения проблемы требуются изменения в программном коде. Если будут возникать какие-то проблемы, советуем вам обратиться в нашу официальную поддержку.
Спасибо большое. Проверил что PAC сертификат выдается этой командой. И еще сделал дамп трафика на виндовом клиенте через Wireshark, подсунул keytab файл ему для расшифровки - там тоже все выглядит нормально.
П.С. Если мне не изменяет память, то на сайте с документацией Astralinux написано, что нельзя подключить Windows к Freeipa - https://wiki.astralinux.ru/kb/podklyuchenie-os-windows-10-k-domenu-freeipa-190910701.html. Поддержка точно захочет/сможет разобраться с этим вопросом?
Здравствуйте! Чтобы скачать архив, необходимо выполнить регистрацию. Функция выгрузки архива работает для авторизованных пользователей GitFlic.
Странная история, будучи не зарегистрированным могу выгрузить каждый файл по отдельности, но выгрузку одним архивом - нет, спасибо за уточнение, после регистрации выгрузило
Странная история, будучи не зарегистрированным могу
Бесплатно и без регистрации:
git clone https://gitflic.ru/project/astra_aldpro_rnd/aldpro-join.git
cd aldpro-join
Без проблем легко и быстро. Нуну.
Тут портянка на 2 часа чтения и 5 часов введения в домен.
Если завелось без обращения в поддержку, то можно сказать что легко — далеко не все продукты Астры так работают :)
Здравствуйте! Хотели бы объяснить, почему получился такой объемный гайд. На проведение исследований для подготовки статьи ушло 8 недель, на разработку и отладку утилиты 4 недели, на написание самого текста 2 дня. Если мы говорим про "быстро и легко" — это применимо к выполнению настроек на стороне Windows-компьютеров. Тут в среднем потребуется 2-3 минуты на хост. Мы специально написали утилиту aldpro-join, чтобы "23" не приходилось писать слитно )
Я до сих пор не перешел с четвёртой самбы на фри ипу, и в самбе 4 + named все неплохо работает, я даже до сих пор winbind юзаю.
Хотите присоединить Windows к домену ALD Pro (FreeIPA)? Спросите меня как