Описание стенда

Сервер

ОС: Windows Server 2019

Доменное имя: test.rutoken.ru

IP: 172.16.113.102

Клиент

ОС: macOS Ventura 13.2

Настройка сервера

Чтобы настроить сервер, установите сервис Active Directory.

Установка сервиса Active Directory

Имя сервера можно задать в окне менеджера сервера:

Процедура установки состоит из следующих шагов:

1. Добавление сервисов.
2. Настройка домена.
3. Добавление новых пользователей.
4. Установка центра сертификации Active Directory.

Шаг 1. Добавление необходимых сервисов

Добавьте на сервер сервисы Active Dirrectory и DNS:

1. Откройте окно для добавления ролей в менеджере сервера:

2. В окне для выбора сервисов установите галочки Active Directory Domain Services и DNS Server:

3. Нажмите Next.

4. Во всех остальных пунктах даём согласие на установку.

Шаг 2. Настройка домена

После завершения установки сервисов вам надо перейти к настройке домена:

1. Откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":

2. На вкладке Deployment Configuration выберите опцию для создания нового домена и укажите его название:

3. Введите пароль сброса:

4. На вкладке DNC Options ничего не меняйте, т.к. сервер сам является DNS сервером:

5. На следующих трёх вкладках также оставьте всё как есть:

6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае уведомления не являются критичными:

После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя. 

Шаг 3. Добавление новых пользователей

Чтобы добавить новых пользователей:

1. Откройте утилиту управления пользователями и компьютерами домена:

2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:

3. Добавьте нового пользователя User:

4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Шаг 4. Установка центра сертификации Active Directory

После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.

Настройка клиента Mac OS

Установка приложения "Рутокен для macOS"

Приложение "Рутокен для macOS" необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах семейства Рутокен.

Чтобы установить это приложение:

1. Перейдите на страницу:
   https://www.rutoken.ru/support/download/mac/
2. На странице Драйверы для macOS щелкните по ссылке Рутокен для macOS.
   
3. Загрузите приложение.
4. Перейдите в папку Загрузки.
5. Дважды щелкните по названию файла Рутокен для macOS. 
6. В окне Рутокен для macOS перенесите файл с одноименным названием в папку Applications.
   
7. Перейдите в Launchpad и дважды щелкните по названию приложения Рутокен для macOS.

8. В окне с подтверждением открытия приложения нажмите Открыть. В результате приложение Рутокен для macOS добавит возможность аутентификации по сертификату в систему.

   После установки приложения обязательно перезагрузите компьютер.

   

   
   

Настройка Сети

1. Зайдите в Системные настройки - Сеть и нажмите Подробнее на вашем интернет подключении.
   
   
   
2. В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
3. Далее перейдите во вкладку DNS, щёлкните на значок "+" и введите IP адрес вашего доменного сервера.
   
   
   
4. Далее в Системных настройках - Пользователи и группы и нажмите Изменить в разделе Сервер сетевых учётных записей.
   
   
   
5. Нажмите Открыть Службу каталогов.
   
   
   
6. Нажмите на значок замка слева снизу окна Служба каталогов и выберите Active Directory в разделе Службы.
   
   
   
7. Введите имя вашего домена в поле Домен Active Directory. По необходимости, выполните оставшиеся настройки по своим параметрам.
   
   
   
8. После применения всех настроек, нажмите кнопку Связать. Потребуется ввести логин и пароль администратора домена.
   

Настройка SmartcardLogin.plist

Для использования смарт-карты для авторизации доменного пользователя необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.

Для этого выполните следующие действия:

1. Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:

   sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO

2. Откройте и настройте конфигурационный файл SmartcardLogin.plist

   sudo nano /private/etc/SmartcardLogin.plist

   
   Пример настройки SmartcardLogin.plist:

   <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>AttributeMapping</key> <dict> <key>fields</key> <array> <string>NT Principal Name</string> </array> <key>formatString</key> <string>Kerberos:$1</string> <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string> </dict> </dict> </plist>

3. Далее необходимо настроить права доступа к файлу.

   sudo chown root:wheel /private/etc/SmartcardLogin.plist sudo chmod 644 /private/etc/SmartcardLogin.plist

4. Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.
   

   plutil -lint /private/etc/SmartcardLogin.plist /private/etc/SmartcardLogin.plist: OK

   Подробнее про конфигурацию  SmartcardLogin.plist можно прочитать на странице техподдержки Apple.

Настройка входа пользователя

Чтобы войти доменным пользователем необходимо в Системных настройках перейти во вкладку Экран блокировки и в окне При смене пользователя, в строке Показывать в окне входа, выбрать Поля имени и пароля.

Далее после перезагрузки, вы сможете ввести логин и пароль доменного пользователя для входа.

Когда вы вошли под доменным пользователем, после блокировки экрана или ухода компьютера в сон, потребуется PIN-код от рутокена для возобновления сессии.