Local Admins Password Solution в ALD Pro

Жизненный цикл локальных учётных записей на компьютерах в домене требует повышенного внимания со стороны системных администраторов. Существуют разные подходы к решению этой задачи, например, в службе каталога ALD Pro есть параметр групповой политики, с помощью которого можно централизованно запретить локальным пользователям вход в операционную систему компьютеров Astra Linux Special Edition (ALSE), но доступно ещё и специализированное решение по управлению паролями локальных администраторов - Local Admins Password Solution или кратко, LAPS.

Окружение
* ALD Pro 2.5.0

Вопрос
Есть ли в ALD Pro аналог решения LAPS из Microsoft Active Directory (Local Administrator Password Solution) для централизованного управления паролями локальных администраторов на компьютерах домена?

Ответ
LAPS для домена ALD Pro доступен, начиная с версии ALD Pro 2.5.0. В личном кабинете можно найти архив aldpro-laps_*.zip, содержащий пакет с LAPS и инструкцию по работе с ним.

Прямые ссылки на LAPS под конкретную версию ALD Pro:
LAPS в ALD Pro 3.0.0 (~1,5 Мб)
LAPS в ALD Pro 2.5.0 (~1,8 Мб)

---

Окружение
* ALD Pro 2.5.0

Вопрос
Как в ALD Pro LAPS разграничить доступ к локальным паролям по определённым группам администраторов?

Ответ

Приведённые ниже действия выполняются сразу после установки актуальной версии aldpro-laps_2.5.0.zip.

Действия на Портале управления ALD Pro:

1. Создать два подразделения для компьютеров. Например, для пользовательских и серверов.
2. Добавить в созданные подразделения необходимые компьютеры.
3. Создать две групповые политики, задав необходимые значения параметра Пароли локальных администраторов (Параметры компьютеров — Дополнительные параметры — LAPS).
4. Назначить созданные политики на созданные ранее подразделения.
5. Создать две группы пользователей для администрирования пользовательских компьютеров и серверов.
6. Включить в созданные группы необходимые учётные записи пользователей.

Действия на контроллере домена:

1. Загрузить на компьютер файл laps_group.ldif.
2. Добавить переменные окружения:

   export SUFFIX='dc=<имя>,dc=<домена>'
   export ALDPRO_API_SERVER='<fqdn_имя_КД>'
   export ALDPRO_API_PASSWORD='<пароль_пользователя_Directory_manager>'
   export CL_ADMINS='<имя_группы_администраторов_клиентов>'
   export SRV_ADMINS='<имя_группы_администраторов_серверов>'
   export LAPS_CLIENTS='<имя_подразделения_для_пользовательских_АРМ>'
   export LAPS_SERVERS='<имя_подразделения_для_серверов>'

3. Загрузить изменения в LDAP-каталог:
   cat /путь/до/laps_group.ldif | envsubst | ldapmodify -c -H ldaps://$ALDPRO_API_SERVER -D 'cn=Directory Manager' -w $ALDPRO_API_PASSWORD

Если требуется создать разделение прав доступах для трёх и более групп, внести изменения в загруженный ранее файл laps_gproup.ldif:

1. Для каждой новой группы/подразделения добавить ещё один типовой раздел Правила для подразделения <имя_подразделения>, изменив targetfilter. Например:

   dn: cn=computers,cn=accounts,$SUFFIX
   changetype: modify
   add: aci
   aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(targetfilter="(rbtaou=<имя_подразделения_3>)")(version 3.0; acl "LAPS: allow access to LAPS info to admins, <имя_группы_пользователей_3> and self"; allow (read,write,search,compare)(
   groupdn="ldap:///cn=admins,cn=groups,cn=accounts,$SUFFIX" or
   groupdn="ldap:///cn=<имя_группы_пользователей_3>,cn=groups,cn=accounts,$SUFFIX" or
   userdn="ldap:///self");)

   dn: cn=computers,cn=accounts,$SUFFIX
   changetype: modify
   add: aci
   aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(targetfilter="(rbtaou=<имя_подразделения_3>)")(version 3.0; acl "LAPS: deny access to LAPS info to everyone except admins, <имя_группы_пользователей_3> and self"; deny (read,write,search,compare)(
   groupdn!="ldap:///cn=admins,cn=groups,cn=accounts,$SUFFIX" and
   groupdn!="ldap:///cn=<имя_группы_пользователей_3>,cn=groups,cn=accounts,$SUFFIX" and
   userdn!="ldap:///self");)

2. Добавить в раздел Правила для остальных подразделений дополнительные условия в targetfilter. Например:
   (targetfilter="(&(rbtaou=*)(!(|(rbtaou=$LAPS_CLIENTS)(rbtaou=$LAPS_SERVERS)(rbtaou=<имя_подразделения_3>)(rbtaou=<имя_подразделения_4>))))")

---

Окружение
* ALD Pro 2.5.0

Вопрос
По умолчанию графическую часть утилиты LAPS могут использовать участники группы admins. Можно ли изменить группу пользователей, которые могут использовать данную утилиту?

Ответ
Доступ к атрибутам LAPS управляется при помощи aci на контейнере cn=computers,cn=accounts. Если утилита уже была установлена с доступом для группы admins, необходимо переопределить следующие aci:

aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(version 3.0; acl "LAPS: allow access to LAPS info to admins and self v2"; allow (read,write,search,compare)(groupdn="ldap:///cn=admins,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" or userdn="ldap:///self");)
aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(version 3.0; acl "LAPS: deny access to LAPS info to everyone except admins and self v2"; deny (read,write,search,compare)(groupdn!="ldap:///cn=admins,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" and userdn!="ldap:///self");)

Изменить их можно, сформировав ldif-файл и применив его с помощью ldapmodify.

Можно заменить группу admins на необходимую или добавить собственную группу, например, заменив admins на admins-laps:

aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(version 3.0; acl "LAPS: allow access to LAPS info to admins and self v2"; allow (read,write,search,compare)(groupdn="ldap:///cn=admins,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" or groupdn="ldap:///cn=admins-laps,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" or userdn="ldap:///self");)
aci: (targetattr="aldproLAPSPassword || aldproLAPSPasswordExpirationTime || aldproLAPSCurrentPasswordVersion")(version 3.0; acl "LAPS: deny access to LAPS info to everyone except admins and self v2"; deny (read,write,search,compare)(groupdn!="ldap:///cn=admins,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" and groupdn!="ldap:///cn=admins-laps,cn=groups,cn=accounts,dc=ald,dc=company,dc=lan" and userdn!="ldap:///self");)

где dc=ald,dc=company,dc=lan необходимо заменить на соответствующие значения для имени домена (пример приведён для имени домена ald.company.lan)!

Дополнительные материалы:

• Оглавление всех статей про ALD Pro - Astra Domain.
• Как получить информацию о проблемах в работе ALD Pro?
• Пароль суперпользователя LDAP-каталога Directory Manager.
• Проверка паролей по словарю часто используемых паролей.
• Классы символов в политиках паролей.

Дата последней правки: 2025-10-02 11:42:24