Alterator-auth

Название пакета

alterator-auth

Назначение

Модуль Аутентификация предназначен для системных настроек аутентификации.

Pluggable Authentication Modules (PAM) — механизм, позволяющий тонко настроить схему аутентификации пользователей в системе. Данный модуль позволяет переключаться между заранее подготовленными схемами.

Настройка

Модуль alterator-auth доступен в GUI (раздел Пользователи ▷ Аутентификация):

так и в веб-интерфейсе (https://ip-address:8080 (раздел Пользователи ▷ Аутентификация)):

Использование модуля

Локальная база пользователей

Если система должна быть настроена на локальную аутентификацию, то есть, информация о пользователях и группах хранится в файлах, то выберите пункт «Локальная база пользователей» и нажмите кнопку «Применить».

Домен ALT Linux

Если в сети имеется настроенный ALT домен, отметьте данный пункт и выберите домен из списка:

Домен Active Directory

Внимание! Имя машины, с которым она вводится в домен, должно быть в формате FQDN. При некорректном имени возможны нарушения в работе различных параметров, в том числе обновлении записей DNS прямой и обратной зоны.

Если в сети имеется настроенный домен Samba AD, выберите пункт «Домен Active Directory» и заполните поля:

Нажмите кнопку «Применить».

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

При успешном подключении к домену, отобразится соответствующая информация:

Домен FreeIPA

Примечание: Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен.

Если в сети имеется настроенный домен FreeIPA, выберите пункт «Домен FreeIPA», заполните поля «Домен» и «Имя компьютера» и нажмите кнопку «Применить:

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

При успешном подключении к домену, отобразится соответствующая информация:

Настройки SSSD

Настройка	Опция в файле /etc/sssd/sssd.conf	Описание	Режимы
Правила применения групповых политик	ad_gpo_access_control	Определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)	enforced (принудительный режим) — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование permissived (разрешающий режим) — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить, как срабатывают новые правила disabled (отключить) — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются default (по умолчанию) — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорировать, если групповые политики не читаются	ad_gpo_ignore_unreadable	Определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)	enabled (включить) — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD disabled (отключить) — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны default (по умолчанию) — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кэшировать учётные данные	cache-credentials	Определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD	enabled (включить) — сохранение в локальном кэше SSSD учётных данных пользователей включено disabled (отключить) — сохранение в локальном кэше SSSD учётных данных пользователей отключено default (по умолчанию) — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Привилегии запуска SSSD	control sssd-drop-privileges	Позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)	privileged (привилегированный) — служба SSSD запущена от имени привилегированного суперпользователя (root) unprivileged (непривилегированный) — служба SSSD запущена от имени непривилегированного пользователя (_sssd) default (по умолчанию) — режим привилегий службы SSSD задан по умолчанию в пакете
Интервал обновления записей DNS	dyndns_refresh_interval	Определяет как часто серверная часть должна выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, выполняемому при подключении серверной части к сети. Этот параметр является применим только в том случае, если для dyndns_update установлено значение true.	enabled (включить) — задать интервал disabled (отключить) — установить значение по умолчанию (86400) unknown
TTL для клиентской записи DNS	dyndns_ttl	Срок жизни, применяемый к записи DNS клиента при ее обновлении. Если dyndns_update имеет значение false, это не имеет никакого эффекта.	enabled (включить) — задать TTL disabled (отключить) — установить значение по умолчанию (3600) unknown
Обновлять IP-адрес машины в DNS	dyndns_update	Позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD	enabled (включить) — автоматическое обновление DNS-записи клиента через SSSD включено disabled (отключить) — автоматическое обновление DNS-записи клиента через SSSD отключено default (по умолчанию) — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете unknown
Обновлять PTR-запись машины в DNS-записей	dyndns_update_ptr	Определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG) при обновлении записей DNS клиента. Применимо, только если dyndns_update имеет значение true.	enabled (включить) — автоматическое обновление DNS записи обратной зоны через SSSD включено disabled (отключить) — автоматическое обновление DNS записи обратной зоны через SSSD отключено default (по умолчанию) — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете unknown

Модули Alterator

Alterator-ahttpd-power • Alterator-ahttpd-server • Alterator-alternatives • Alterator-asterisk-gateway • Alterator-asterisk-limits • Alterator-audit • Alterator-auth • Alterator-auth-token • Alterator-bacula-client • Alterator-bind • Alterator-bird • Alterator-ca • Alterator-clamav • Alterator-console • Alterator-control • Alterator-controlpp • Alterator-datetime • Alterator-dhcp • Alterator-gpupdate • Alterator-groups • Alterator-grub • Alterator-kiosk • Alterator-ldap-groups • Alterator-ldap-users • Alterator-limits • Alterator-logs • Alterator-mass-management • Alterator-mirror • Alterator-mkbootflash • Alterator-multiseat • Alterator-net-bl • Alterator-net-bond • Alterator-net-bridge • Alterator-net-dnat • Alterator-net-domain • Alterator-net-eth • Alterator-net-iptables • Alterator-net-iptables-manual • Alterator-net-l2tp • Alterator-net-openvpn • Alterator-net-pppoe • Alterator-net-pptp • Alterator-net-routing • Alterator-net-tc • Alterator-net-vlan • Alterator-net-wifi • Alterator-netinst • Alterator-openvpn-server • Alterator-osec • Alterator-pkg • Alterator-ports-access • Alterator-printers • Alterator-quota • Alterator-roles • Alterator-root • Alterator-secsetup • Alterator-selinux-users • Alterator-services • Alterator-snort • Alterator-squid • Alterator-squidmill • Alterator-sshd • Alterator-sslkey • Alterator-sysinfo • Alterator-ulogd • Alterator-update-kernel • Alterator-updates • Alterator-usbguard • Alterator-usbmount • Alterator-users • Alterator-vsftpd • Alterator-x11 • Alterator-xinetd • Alterator-xkb • Alterator-zabbix-agent • Alterator-zram-swap • AlteratorLilo • AlteratorServices • Alterator-bacula/client-backup/archive • Alterator-bacula/client-backup/client • Alterator-bacula/director • Alterator/New/Modules/Postfix Dovecot • Alterator-sysconfig/proxy • Alterator-bacula/client-backup/schedule • Модули Alterator