Использование дополнительных UPN-суффиксов в ALD Pro для аутентификации в доверенном домене MS AD

UserPrincipalName (UPN) – это имя для входа пользователя в формате email адреса. По умолчанию в Active Directory в качестве UPN суффикса используется DNS имя вашего домена AD. Например, UserPrincipalName пользователя в домене ms.ad выглядит так: username@ms.ad. В ряде случаев администратор вынужден вводить дополнительные (альтернативные) UPN-суффиксы. В статье рассматривается как использовать их в ALD Pro для входа в ПК, под управлением Astra Linux.

Окружение
* ALD Pro 1.4.1
* ALD Pro 2.x.x

Вопрос

Как войти в систему на клиентском ПК под управлением Astra Linux, находящемся в домене ALD Pro, от имени пользователя, созданного в доверенном домене Microsoft Active Directory (MS AD), используя дополнительные UPN-суффиксы?

Ответ

Для поддержки входа пользователя с использованием дополнительных UPN-суффиксов следует:

1. Убедиться в том, что IPA KDC корректно отображает дополнительные UPN-суффиксы. Для этого на контроллере домена ALD Pro:
   
   1. Получить билет администратора домена ALD Pro, выполнив команду в терминале (<Alt+T>): kinit имя_администратора_домена_AldPro
   2. Запросить сведения о доверительных отношениях с MS AD, выполнив команду в терминале (<Alt+T>): ipa trust-show имя_домена_MS_AD

      Пример результата выполнения команды:

      Имя области (realm): ms.ad
        Имя домена NetBIOS: MS
        Идентификатор безопасности домена: S-1-5-21-3238733890-3822432069-3742759889
        Направление отношения доверия: Двустороннее отношение доверия
        Тип отношения доверия: Домен Active Directory
        Суффиксы UPN: test.ms.ad, 123.ms.ad
      

   3. Посмотреть результат выполнения команды на наличие UPN-суффиксов. При отсутствии UPN-суффиксов IPA KDC не учитывает их при обработке имен входа для выдачи ссылок в правильную область, поэтому следует добавить поддержку, которая позволит искать UPN-суффиксы имен, связанные с AD:
      ipa trust-mod имя_домена_MS_AD --upn-suffix=имя_UPN_суффикса_1 --upn-suffix=имя_UPN_суффикса_2
2. На клиентском ПК выполнить следующие действия:
   1. С помощью текстового редактора отредактировать конфигурационный файл /etc/sssd/sssd.conf, добавив в секцию домена параметр:
      krb5_use_enterprise_principal = True

      Пример конфигурационного файла sssd.conf после добавления параметра krb5_use_enterprise_principal:

      [domain/aldpro.loc]
      
      id_provider = ipa
      ipa_server_mode = True
      ipa_server = dc1.aldpro.loc
      ipa_domain = aldpro.loc
      ipa_hostname = dc1.aldpro.loc
      auth_provider = ipa
      chpass_provider = ipa
      access_provider = ipa
      cache_credentials = True
      ldap_tls_cacert = /etc/ipa/ca.crt
      krb5_store_password_if_offline = True
      sudo_provider = ipa
      autofs_provider = ipa
      subdomains_provider = ipa
      session_provider = ipa
      hostid_provider = ipa
      krb5_use_enterprise_principal = True
      
      [sssd]
      services = ifp
      
      domains = aldpro.loc
      [nss]
      homedir_substring = /home
      memcache_timeout = 600
      [pam]
      
      [sudo]
      
      [autofs]
      
      [ssh]
      
      [pac]
      
      [ifp]
      allowed_uids = 0, 114, 33, fly-dm, ipaapi
      
      [secrets]
      
      [session_recording]
      

   2. Остановить службу sssd: sudo systemctl stop sssd
   3. Очистить кеш, удалив файлы каталога db: sudo rm -f /var/lib/sss/db/*
   4. Запустить службу sssd: sudo systemctl start sssd
   5. Перезагрузить ПК.

Для аутентификации в Астра Линукс к учётной записи пользователя, созданной в доверенном домене MS AD, необходимо добавлять дополнительный UPN-суффикс домена MS AD, например:

где test.ms.ad - дополнительный UPN-суффикс в домене ms.ad.

---

11 Доверительные отношения с MS AD

Дополнительные материалы:
ALD Pro - Astra Domain
Как получить информацию о проблемах в работе ALD Pro?

Дата последней правки: 2023-12-22 09:22:38