Описание стенда
Сервер
ОС: Windows Server 2019
Доменное имя: test.rutoken.ru
IP: 172.16.113.102
Клиент
ОС: macOS Ventura 13.2
Настройка сервера
Чтобы настроить сервер, установите сервис Active Directory.
До установки сервиса можно изменить имя сервера. Чтобы это сделать, задайте новое имя в окне менеджера сервера, в поле Computer name.
Установка сервиса Active Directory
- Добавление сервисов.
- Настройка домена.
- Добавление новых пользователей.
- Установка центра сертификации Active Directory.
Шаг 1. Добавление необходимых сервисов
Добавьте на сервер сервисы Active Directory и DNS. Чтобы это сделать:
1. Откройте окно для добавления ролей в менеджере сервера.
2. В окне для выбора сервисов поставьте галочки Active Directory Domain Services и DNS Server.
3. Нажмите Next.
4. Далее дайте согласие на установку.
5. После завершения установки сервисов, перейдите к настройке домена.
Шаг 2. Настройка домена
Чтобы настроить домен:
1. Откройте меню уведомлений и щёлкните по ссылке Promote this server to a domain controller.
2. На вкладке Deployment Configuration выберите опцию для создания нового домена Add a new forest и в поле Root domain name укажите его название. Нажмите Next.
3. На вкладке Domain Controller Options введите пароль сброса. Нажмите Next.
4. На вкладке DNS Options ничего не меняйте, т.к. сервер сам является DNS-сервером. Нажмите Next.
5. На следующих трёх вкладках тоже ничего не меняйте, просто нажимайте Next.
6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем примере уведомления не являются критичными.
После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя.
Шаг 3. Добавление новых пользователей
Чтобы добавить новых пользователей:
1. Откройте утилиту управления пользователями и компьютерами домена.
2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей. В правой части окна щёлкните на пустом месте и выберите New → Organizational Unit.
В поле Name укажите имя директории Domain Users.
3. Добавьте нового пользователя User. В правой части окна щёлкните на пустом месте и выберите New → User.
Укажите данные пользователя.
Проверьте указанные данные и нажмите Finish.
4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.
Шаг 4. Установка центра сертификации Active Directory
После этого перейдите к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.
Настройка клиента
Установка приложения "Рутокен для macOS"
Приложение Рутокен для macOS необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах Рутокен.
Чтобы установить Рутокен для macOS:
- Перейдите на страницу:
https://www.rutoken.ru/support/download/mac/ - На странице Драйверы для macOS нажмите Рутокен для macOS.
- Загрузите программу установки.
- Перейдите в папку Загрузки и запустите только что скачанную программу установки Рутокен для macOS.
- В окне Рутокен для macOS перенесите значок приложения в папку Applications, удерживая правую кнопку мыши.
- Рутокен для macOS и два раза щелкните по нему. Найдите в этой папке приложение
7. Чтобы подтвердить открытие приложения, нажмите Открыть. В результате на экране отобразится уведомление о том, что система настроена.
После установки приложения обязательно перезагрузите компьютер.
- Зайдите в Системные настройки — Сеть и нажмите Подробнее на вашем интернет подключении.
- В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
- Перейдите во вкладку DNS, нажмите на значок "+" и введите IP адрес вашего доменного сервера.
- Перейдите в Системные настройки — Пользователи и группы.
- В разделе Сервер сетевых учётных записей нажмите Изменить.
- Нажмите Открыть Службу каталогов...
- Нажмите на значок замка слева снизу окна Служба каталогов и в разделе Служба выберите выберите Active Directory.
- Введите имя вашего домена в поле Домен Active Directory. При необходимости, выполните оставшиеся настройки по своим параметрам.
- После применения всех настроек, нажмите Связать. Потребуется ввести логин и пароль администратора домена.
Настройка SmartcardLogin.plist
Чтобы использовать смарт-карту для авторизации доменного пользователя, необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.
Чтобы создать и настроить SmartcardLogin.plist:
Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Откройте и настройте конфигурационный файл SmartcardLogin.plist
sudo nano /private/etc/SmartcardLogin.plist
Пример настройки SmartcardLogin.plist:<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Настройте права доступа к файлу.
sudo chown root:wheel /private/etc/SmartcardLogin.plist
sudo chmod 644 /private/etc/SmartcardLogin.plist
Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.
plutil -lint /private/etc/SmartcardLogin.plist
/private/etc/SmartcardLogin.plist: OK
Подробнее про конфигурацию SmartcardLogin.plist можно прочитать на странице техподдержки Apple.
Настройка входа пользователя
Чтобы войти доменным пользователем:
- В Системных настройках передите в Экран блокировки.
- В разделе При смене пользователя, в строке Показывать в окне входа, выберите поля имени и пароля.
3. Перезагрузите компьютер. После перезагрузки вы сможете ввести логин и пароль доменного пользователя для входа.
4. После блокировки экрана или ухода компьютера в сон, потребуется PIN-код от Рутокен для возобновления сессии.