Alterator-auth: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
(+Настройки SSSD)
Строка 64: Строка 64:


[[Файл:Alterator-auth-ok-freeipa.png|Подключение к серверу FreeIPA]]
[[Файл:Alterator-auth-ok-freeipa.png|Подключение к серверу FreeIPA]]
=== Настройки SSSD ===
[[Файл:Alterator-auth-sssd.png|Настройки SSSD]]
{| class="wikitable"
! Настройка
! Опция в файле /etc/sssd/sssd.conf
! Описание
! Режимы
|-
| Правила применения групповых политик
| ad_gpo_access_control
| Определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
|
* enforced (принудительный режим) — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
* permissived (разрешающий режим) — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить, как срабатывают новые правила
* disabled (отключить) — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
* default (по умолчанию) — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
|-
| Игнорировать, если групповые политики не читаются
| ad_gpo_ignore_unreadable
| Определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
|
* enabled (включить) — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
* disabled (отключить) — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
* default (по умолчанию) — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
|-
| Кэшировать учётные данные
| cache-credentials
| Определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
|
* enabled (включить) — сохранение в локальном кэше SSSD учётных данных пользователей включено
* disabled (отключить) — сохранение в локальном кэше SSSD учётных данных пользователей отключено
* default (по умолчанию) — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
|-
| Привилегии запуска SSSD
| control sssd-drop-privileges
| Позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
|
* privileged (привилегированный) — служба SSSD запущена от имени привилегированного суперпользователя (root)
* unprivileged (непривилегированный) — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
* default (по умолчанию) — режим привилегий службы SSSD задан по умолчанию в пакете
|-
| Интервал обновления записей DNS
| dyndns_refresh_interval
| Определяет как часто серверная часть должна выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, выполняемому при подключении серверной части к сети. Этот параметр является применим только в том случае, если для dyndns_update установлено значение true.
|
* enabled (включить) — задать интервал
* disabled (отключить) — установить значение по умолчанию (86400)
* unknown
|-
| TTL для клиентской записи DNS
| dyndns_ttl
| Срок жизни, применяемый к записи DNS клиента при ее обновлении. Если dyndns_update имеет значение false, это не имеет никакого эффекта.
|
* enabled (включить) — задать TTL
* disabled (отключить) — установить значение по умолчанию (3600)
* unknown
|-
| Обновлять IP-адрес машины в DNS
| dyndns_update
| Позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
|
* enabled (включить) — автоматическое обновление DNS-записи клиента через SSSD включено
* disabled (отключить) — автоматическое обновление DNS-записи клиента через SSSD отключено
* default (по умолчанию) — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
* unknown
|-
| Обновлять PTR-запись машины в DNS-записей
| dyndns_update_ptr
| Определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG) при обновлении записей DNS клиента. Применимо, только если dyndns_update имеет значение true.
|
* enabled (включить) — автоматическое обновление DNS записи обратной зоны через SSSD включено
* disabled (отключить) — автоматическое обновление DNS записи обратной зоны через SSSD отключено
* default (по умолчанию) — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
* unknown
|}


{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}
{{Category navigation|title=Модули Alterator|category=Модули Alterator|sortkey={{SUBPAGENAME}}}}


[[Категория:Модули Alterator]]
[[Категория:Модули Alterator]]

Версия от 12:55, 28 марта 2022

Название пакета

alterator-auth

Назначение

Модуль Аутентификация предназначен для системных настроек аутентификации.

Pluggable Authentication Modules (PAM) — механизм, позволяющий тонко настроить схему аутентификации пользователей в системе. Данный модуль позволяет переключаться между заранее подготовленными схемами.

Настройка

Модуль alterator-auth доступен в GUI (раздел Пользователи ▷ Аутентификация):

Аутентификация

так и в веб-интерфейсе (https://ip-address:8080 (раздел Пользователи ▷ Аутентификация)):

Веб-интерфейс alterator-auth

Использование модуля

Локальная база пользователей

Если система должна быть настроена на локальную аутентификацию, то есть, информация о пользователях и группах хранится в файлах, то выберите пункт «Локальная база пользователей» и нажмите кнопку «Применить».

Настройка рабочей станции для использования локальной аутентификации

Домен ALT Linux

Если в сети имеется настроенный ALT домен, отметьте данный пункт и выберите домен из списка:

Настройка рабочих станций для использования централизованной аутентификации

Домен Active Directory

Если в сети имеется настроенный домен Samba AD, выберите пункт «Домен Active Directory» и заполните поля:

Настройка рабочих станций для использования Active Directory

Нажмите кнопку «Применить».

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

Запрос пароля администратора Active Directory

При успешном подключении к домену, отобразится соответствующая информация:

Успешное подключение к Active Directory

Домен FreeIPA

Примечание: Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен.


Если в сети имеется настроенный домен FreeIPA, выберите пункт «Домен FreeIPA», заполните поля «Домен» и «Имя компьютера» и нажмите кнопку «Применить:

Ввод в домен FreeIPA

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

Запрос пароля администратора FreeIPA

При успешном подключении к домену, отобразится соответствующая информация:

Подключение к серверу FreeIPA

Настройки SSSD

Настройки SSSD

Настройка Опция в файле /etc/sssd/sssd.conf Описание Режимы
Правила применения групповых политик ad_gpo_access_control Определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
  • enforced (принудительный режим) — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
  • permissived (разрешающий режим) — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить, как срабатывают новые правила
  • disabled (отключить) — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
  • default (по умолчанию) — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорировать, если групповые политики не читаются ad_gpo_ignore_unreadable Определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
  • enabled (включить) — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • disabled (отключить) — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • default (по умолчанию) — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кэшировать учётные данные cache-credentials Определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
  • enabled (включить) — сохранение в локальном кэше SSSD учётных данных пользователей включено
  • disabled (отключить) — сохранение в локальном кэше SSSD учётных данных пользователей отключено
  • default (по умолчанию) — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Привилегии запуска SSSD control sssd-drop-privileges Позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
  • privileged (привилегированный) — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • unprivileged (непривилегированный) — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • default (по умолчанию) — режим привилегий службы SSSD задан по умолчанию в пакете
Интервал обновления записей DNS dyndns_refresh_interval Определяет как часто серверная часть должна выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, выполняемому при подключении серверной части к сети. Этот параметр является применим только в том случае, если для dyndns_update установлено значение true.
  • enabled (включить) — задать интервал
  • disabled (отключить) — установить значение по умолчанию (86400)
  • unknown
TTL для клиентской записи DNS dyndns_ttl Срок жизни, применяемый к записи DNS клиента при ее обновлении. Если dyndns_update имеет значение false, это не имеет никакого эффекта.
  • enabled (включить) — задать TTL
  • disabled (отключить) — установить значение по умолчанию (3600)
  • unknown
Обновлять IP-адрес машины в DNS dyndns_update Позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  • enabled (включить) — автоматическое обновление DNS-записи клиента через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS-записи клиента через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
  • unknown
Обновлять PTR-запись машины в DNS-записей dyndns_update_ptr Определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG) при обновлении записей DNS клиента. Применимо, только если dyndns_update имеет значение true.
  • enabled (включить) — автоматическое обновление DNS записи обратной зоны через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS записи обратной зоны через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
  • unknown