1.Создайте служебного пользователя

2.Настройте синхронизацию времени на клиенте и сервере

3.Установите клиентский пакет Kerberos

4.Сгенерируйте keytab-файл

5.Настройте конфигурационный файл Kerberos

Создание служебного пользователя

На сервере с ALD Pro создайте служебного пользователя, от имени которого будет работать система:

1.На контроллере домена откройте страницу управления «ALD Pro – пользователи и компьютеры».

2.Создайте нового пользователя. Далее в разделе для примеров используется пользователь admin.

Настройка синхронизации времени

Для работы по протоколу Kerberos требуется, чтобы время на клиенте совпадало со временем на сервере. Иначе аутентификация не будет работать. Для настройки синхронизации времени используйте сервис Network Time Protocol (NTP). Подробнее порядок настройки см. в справочном центре Astra Linux статью «Службы синхронизации времени в Astra Linux».

Установка пакетов на Astra Linux

Клиентский пакет Kerberos krb5-user входит в дистрибутив Astra Linux, но по умолчанию не устанавливается. Выполните команду, чтобы установить пакет:

sudo apt install krb5-user

В результате вместе с krb5-user устанавливается пакет krb5-config для настройки клиента.

Генерация keytab-файла

1.На контроллере домена создайте узел с помощью команды:

sudo ipa host-add --force --ip-address=<адрес узла Directum RX> <доменное имя узла Directum RX>

Пример команды:

sudo ipa host-add --force --ip-address='192.168.xxx.yyy' directum.example.com

2.Создайте веб-службу с помощью команды:

sudo ipa service-add HTTP/<доменное имя, по которому доступен DirectumRX>

Пример команды:

sudo ipa service-add HTTP/directum.example.com

3.Сгенерируйте Keytab-файл с помощью команды:

ipa-getkeytab -p HTTP/<доменное имя, по которому доступен Directum RX>@<EXAMPLE.COM> -k /home/admin/krb5.keytab -e aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96,des3-cbc-sha1,arcfour-hmac-md5,des-cbc-crc,des-cbc-md5

Где EXAMPLE.COM – имя домена, указывается в верхнем регистре.

Пример команды:

ipa-getkeytab -p HTTP/directum.example.com@<EXAMPLE.COM> -k /home/admin/krb5.keytab -e aes256-cts-hmac-sha1-96,aes128-cts-hmac-sha1-96,des3-cbc-sha1,arcfour-hmac-md5,des-cbc-crc,des-cbc-md5

4.На контроллере домена в файле конфигурации Kerberos /etc/krb5.conf закомментируйте строки include или includedir.

5.Перезапустите службу с помощью команды:

sudo systemctl restart krb5-admin-server

6.Скопируйте keytab-файл на сервер с Directum RX в директорию /etc.

7.Выдайте права на чтение файла. Для этого выполните команду:

sudo chmod 644 /etc/krb5.keytab

Настройка конфигурационного файла

Внесите изменения в файл конфигурации Kerberos /etc/krb5.conf. Далее в примере вместо значений, выделенных жирным шрифтом, укажите свои значения.

Важно. Обязательно соблюдайте регистр символов и отступы в файле.

Пример настройки:

[libdefaults]
 default_realm = EXAMPLE.COM  #имя домена в верхнем регистре
 dns_lookup_realm = false
 dns_lookup_kdc = true
 rdns = false
 dns_canonicalize_hostname = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 udp_preference_limit = 0
 default_ccache_name = KEYRING:persistent:%{uid}

 
 
[realms]
EXAMPLE.COM = {
   pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem
   pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem
   default_domain = EXAMPLE.COM
 }

 
 
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

© Компания Directum, 2024