- Технологический стек
- Архитектура решения
- Установка и настройка MULTIDIRECTORY
- Ввод ОС в домен
- Настройка Kerberos
- Настройка DNS
- Настройка DHCP
- Доверие доменов
- Групповые политики
- Подключение MF SelfService Portal к MD
- Управление пользователями, группами и ресурсами
- Подключение 2FA MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в GitFlic
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в Nexus
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Proxmox VE
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в SpaceVM
- LDAP-аутентификация в Tantor
- LDAP-аутентификация в zVirt
- LDAP-аутентификация в Штурвал
Ввод в доменное пространство
Windows
Ввод Windows машин в домен
Ручной способ ввода
В разделе «Настройки Multidirectory» -> «Принципалы Kerberos» добавьте новый принципал для вводимого хоста.
Все принципалы указываются в формате «host/computer.domain» в нижнем регистре, где computer – имя вводимого компьютера.
Например «host/server3.md.beta».
Установите чекбокс совместимости с Windows, оставив тип шифрования AES256-SHA1.
Задайте пароль Kerberos.
Данный пароль должен соответствовать следующим параметрам: от 12 до 32 символов; большие, маленькие латинские буквы, спецсимволы, цифры; 0 повторяющихся символов подряд.
Пароль следует запомнить, т.к. он будет вводиться на целевом хосте.
Настройка компьютера
Компьютеру, вводимому в домен, задайте желаемое имя.
Графическую оснастку изменения имени можно вызвать командой «sysdm.cpl».
Перезагрузку можно не выполнять, т.к. она потребуется после следующих шагов.
Далее в командной строке с правами администратора (run as Administrator) задать пароль системы командой «ksetup /setcomputerpassword».
Задать действующий реалм (Multidirectory) командой «ksetup /setrealm».
Обратите внимание, что имя реалма вводится БОЛЬШИМИ БУКВАМИ.
Задать DNS суффиксы разрешения имен в свойствах IPv4 сетевого интерфейса.
Из-за особенностей разрешения коротких доменных имен, нужно задать суффикс основного домена (MD.BETA) и родительского (BETA).
Редактор сетевых интерфейсов открывается командой «ncpa.cpl».
Перезапустите компьютер.
После перезагрузки в него можно зайти под доменным пользователем Multidirectory.
Пользователь должен быть указать в формате «user@REALM», где REALM вводится в верхнем регистре.
Для проверки доменной учетной записи можно выполнить команду «whoami», посмотреть полученные от домена группы командой «whoami /groups».
Linux
Ввод Linux машин в домен
Обратите внимание!
Для корректного ввода в домен, в используемом DNS требуются две A записи, *domain.loc* и salt.*domain.loc*.
Скопируйте каталог «join» с контроллера домена на целевую клиентскую машину.
На целевой клиентской машине, перейдите в каталог «join».
Установить на рабочую станцию пакеты скриптом install_packages.sh (sudo bash
./install_packages.sh)
Сделать скрипты исполняемым командой «chmod a+x configure.sh install_packages.sh».
Продолжите выполнение скрипта «install_packages_v7» или выполните конфигурацию в скрипте «sudo bash ./configure_v7.sh» в терминале операционной системы.
Заполнить следующие значения:
- Выберите редакцию MultiDirecoty
Enterprise
Community- Введите имя домена (FQDN) (строчными буквами)
Пример: md.loc- Учетную запись администратора LDAP
Пример: admin- Пароль администратора LDAP
Пример: admin_pssword- Укажите сервисного пользователя для SSSD
Пример: service- Введите пароль от сервисной учетной записи
Пример: service_pssword
В процессе работы скрипт даст выбор на смену имени ПК, выберите (да или нет).
В процессе работы скрипт попросит ввод пароля для шифрования (Введите пароль сервисной учетной записи для шифрования).
Успешная работа скрипта выглядит следующим образом.
