Короткие вопрос-ответ про ALD Pro. Часть 1.
Так как некоторые вопросы-ответ коротенькие, то решил их компоновать по несколько штук на одну статью. Первая часть пошла!
Групповые политики ALD Pro для Windows
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.x.x
Вопрос
Могут ли групповые политики управлять ОС MS Windows?
Ответ
Групповые политики ALD Pro применимы только для ОС на базе Debian.
Каковы ограничения ALD Pro на количество сайтов и контроллеров доменов?
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.0.0
Вопрос
Поддерживается ли структура сайтов и есть ли ограничение на количество сайтов и контроллеров доменов в ALD Pro?
Ответ
ALD Pro 1.0.0 поддерживает структуру сайтов, аналогичную Microsoft Active Directory.
ПО ALD Pro основано на FreeIPA, и на него действуют те же ограничения по количеству контроллеров доменов и сайтов:
- не больше 60 контроллеров домена;
- не больше 4 контроллеров домена на один сайт;
- не больше 15 сайтов на один домен (при условии наличия 4 контроллеров домена на сайт).
Совмещение нескольких ролей на одной машине домена
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.x.x
Вопрос
Возможно ли совмещение нескольких ролей (подсистем) на одной машине домена?
Ответ
На данный момент гарантируется работа только одной подсистемы на доменном устройстве.
Реализована ли поддержка МРД и МКЦ?
Окружение
* Astra Linux Special Edition 1.7
* ALD Pro 1.0.0
* ALD Pro 1.1.0
Вопрос
Реализована ли поддержка механизмов Мандатного Разграничения (Управления) Доступом (МРД) и Мандатного Контроля Целостности (МКЦ) из состава ОС в текущей версии ALD Pro?
Ответ
В настоящее время из портала управления полноценное управление МРД и МКЦ пользователей не реализовано. Ожидается реализация поддержки указанных СЗИ в будущем.
Однако есть возможность назначения уровня целостности и уровня конфиденциальности с помощью консольных команд, описанных ниже.
Назначение уровня конфиденциальности и целостности через CLI
Окружение
* Astra Linux Special Edition 1.6
* Astra Linux Special Edition 1.7
* Astra Linux Common Edition 2.12
* Astra Linux Special Edition 8.1
Вопрос
Как в терминале назначить доменному пользователю FreeIPA уровень конфиденциальности?
Ответ
Доменному пользователю уровень конфиденциальности через cli можно назначить командой: ipa user-mod username --macmin=0 --macmax=3
Посмотреть назначенный уровень: ipa user-show username --all
Назначить уровень целостности: ipa user-mod username --miclevel=63
Как определить мастер на контроллере домена?
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.0.0
Вопрос
Как определить мастер на контроллере домена?
Ответ
Выполнить команды: kinit admin; ipa hostgroup-show ipaservers
Первая запись в списке узлов-участников всегда указывает на мастер, например:
Группа узлов: ipaservers
Описание: IPA server hosts
Link to department: ou=aldpro.loc,cn=orgunits,cn=accounts,dc=aldpro,dc=loc
Узлы-участники: root-dc.aldpro.loc, aldpro-update-dc5.aldpro.loc, aldpro-update-dc10.aldpro.loc, aldpro-update-dc14.aldpro.loc
В данном случае мастером является хост root-dc.aldpro.loc.
Дополнительные материалы:
Короткие вопрос-ответ про ALD Pro. Часть 2.
Оглавление всех вопросов и ответов ALD Pro.
