Alterator-auth: различия между версиями

Материал из ALT Linux Wiki
(+Настройки SSSD)
 
Строка 34: Строка 34:


=== Домен Active Directory ===
=== Домен Active Directory ===
 
{{Attention|Имя машины, с которым она вводится в домен, должно быть в формате '''FQDN'''. При некорректном имени возможны нарушения в работе различных параметров, в том числе обновлении записей DNS прямой и обратной зоны.}}
Если в сети имеется настроенный домен Samba AD, выберите пункт «Домен Active Directory» и заполните поля:
Если в сети имеется настроенный домен Samba AD, выберите пункт «Домен Active Directory» и заполните поля:



Текущая версия от 15:37, 7 июля 2022

Название пакета

alterator-auth

Назначение

Модуль Аутентификация предназначен для системных настроек аутентификации.

Pluggable Authentication Modules (PAM) — механизм, позволяющий тонко настроить схему аутентификации пользователей в системе. Данный модуль позволяет переключаться между заранее подготовленными схемами.

Настройка

Модуль alterator-auth доступен в GUI (раздел Пользователи ▷ Аутентификация):

Аутентификация

так и в веб-интерфейсе (https://ip-address:8080 (раздел Пользователи ▷ Аутентификация)):

Веб-интерфейс alterator-auth

Использование модуля

Локальная база пользователей

Если система должна быть настроена на локальную аутентификацию, то есть, информация о пользователях и группах хранится в файлах, то выберите пункт «Локальная база пользователей» и нажмите кнопку «Применить».

Настройка рабочей станции для использования локальной аутентификации

Домен ALT Linux

Если в сети имеется настроенный ALT домен, отметьте данный пункт и выберите домен из списка:

Настройка рабочих станций для использования централизованной аутентификации

Домен Active Directory

Внимание! Имя машины, с которым она вводится в домен, должно быть в формате FQDN. При некорректном имени возможны нарушения в работе различных параметров, в том числе обновлении записей DNS прямой и обратной зоны.

Если в сети имеется настроенный домен Samba AD, выберите пункт «Домен Active Directory» и заполните поля:

Настройка рабочих станций для использования Active Directory

Нажмите кнопку «Применить».

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

Запрос пароля администратора Active Directory

При успешном подключении к домену, отобразится соответствующая информация:

Успешное подключение к Active Directory

Домен FreeIPA

Примечание: Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен.


Если в сети имеется настроенный домен FreeIPA, выберите пункт «Домен FreeIPA», заполните поля «Домен» и «Имя компьютера» и нажмите кнопку «Применить:

Ввод в домен FreeIPA

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:

Запрос пароля администратора FreeIPA

При успешном подключении к домену, отобразится соответствующая информация:

Подключение к серверу FreeIPA

Настройки SSSD

Настройки SSSD

Настройка Опция в файле /etc/sssd/sssd.conf Описание Режимы
Правила применения групповых политик ad_gpo_access_control Определяет в каком режиме будет осуществляться контроль доступа в SSSD основанный на групповых политиках Active Directory (GPO)
  • enforced (принудительный режим) — правила управления доступом в SSSD основанные на GPO выполняются, ведётся логирование
  • permissived (разрешающий режим) — правила управления доступом в SSSD основанные на GPO не выполняются, ведётся только логирование. Такой режим необходим администратору, чтобы оценить, как срабатывают новые правила
  • disabled (отключить) — правила управления доступом в SSSD основанные на GPO не логируются и не выполняются
  • default (по умолчанию) — настройка контроля доступом в SSSD основанное на GPO сброшена на значение по умолчанию в пакете
Игнорировать, если групповые политики не читаются ad_gpo_ignore_unreadable Определяет будут ли проигнорированы правила управления доступом в SSSD основанные на групповых политиках, если недоступен какой-либо шаблон (GPT) объекта групповой политики (GPO)
  • enabled (включить) — игнорировать правила управления доступом через групповые политики, если шаблоны групповых политик не доступны для SSSD
  • disabled (отключить) — запретить доступ пользователям SSSD AD, которым назначены групповые политики, если шаблоны групповых политик не доступны
  • default (по умолчанию) — настройка игнорирования политик, при недоступности шаблонов групповых политик сброшена на значение по умолчанию в пакете
Кэшировать учётные данные cache-credentials Определяет, будут ли учётные данные удалённых пользователей сохраняться в локальном кэше SSSD
  • enabled (включить) — сохранение в локальном кэше SSSD учётных данных пользователей включено
  • disabled (отключить) — сохранение в локальном кэше SSSD учётных данных пользователей отключено
  • default (по умолчанию) — настройка сохранения в локальном кэше SSSD учётных данных пользователей сброшена на значение по умолчанию в пакете
Привилегии запуска SSSD control sssd-drop-privileges Позволяет сбросить права службы SSSD, чтобы избежать работы от имени суперпользователя (root)
  • privileged (привилегированный) — служба SSSD запущена от имени привилегированного суперпользователя (root)
  • unprivileged (непривилегированный) — служба SSSD запущена от имени непривилегированного пользователя (_sssd)
  • default (по умолчанию) — режим привилегий службы SSSD задан по умолчанию в пакете
Интервал обновления записей DNS dyndns_refresh_interval Определяет как часто серверная часть должна выполнять периодическое обновление DNS в дополнение к автоматическому обновлению, выполняемому при подключении серверной части к сети. Этот параметр является применим только в том случае, если для dyndns_update установлено значение true.
  • enabled (включить) — задать интервал
  • disabled (отключить) — установить значение по умолчанию (86400)
  • unknown
TTL для клиентской записи DNS dyndns_ttl Срок жизни, применяемый к записи DNS клиента при ее обновлении. Если dyndns_update имеет значение false, это не имеет никакого эффекта.
  • enabled (включить) — задать TTL
  • disabled (отключить) — установить значение по умолчанию (3600)
  • unknown
Обновлять IP-адрес машины в DNS dyndns_update Позволяет включить или отключить автоматическое обновление DNS-записей (защищенных с помощью GSS-TSIG) с IP-адресом клиента через SSSD
  • enabled (включить) — автоматическое обновление DNS-записи клиента через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS-записи клиента через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи клиента через SSSD задана по умолчанию в пакете
  • unknown
Обновлять PTR-запись машины в DNS-записей dyndns_update_ptr Определяет будет ли обновляться клиентская PTR-запись (защищенная с помощью GSS-TSIG) при обновлении записей DNS клиента. Применимо, только если dyndns_update имеет значение true.
  • enabled (включить) — автоматическое обновление DNS записи обратной зоны через SSSD включено
  • disabled (отключить) — автоматическое обновление DNS записи обратной зоны через SSSD отключено
  • default (по умолчанию) — настройка автоматического обновления DNS-записи обратной зоны задана по умолчанию в пакете
  • unknown