Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 24 Next »

Для Astra Linux Смоленск и РЕД ОС

Настройка сервера. Создание домена FreeIPA и пользователя

Для демонстрации настройки было использовано два стенда. Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей последовательности команд:

Astra Linux. Настройка сервера
# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После данного этапа потребуется перезагрузка

# установим пакет fly-admin-freeipa-server
sudo apt-get update
sudo apt-get install fly-admin-freeipa-server

# Запустим настройщик freeipa
sudo fly-admin-freeipa-server


РЕД ОС. Настройка сервера
# Меняем имя сервера в нашем домене astradomain.ad на server
sudo hostnamectl set-hostname server.astradomain.ad

# После данного этапа потребуется перезагрузка

# установим пакет ipa-server
sudo yum update
sudo yum -y install bind bind-dyndb-ldap ipa-server*

# Запустим настройщик freeipa
sudo ipa-server-install --mkhomedir


После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого будете настраивать доступ по токену.

Для этого перейдите на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и добавьте нового пользователя. В нашем случае был создан пользователь "user".

 


Настройка клиента. Подключение к домену

Для пользователей Astra Linux

Если в качестве клиента выступает Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.


После добавления нового пользователя, переходим к настройке клиента. Настройка была осуществлена с помощью следующих команд:

Настройка клиента
# Меняем имя клиента в нашем домене astradomain.ad на client
sudo hostnamectl set-hostname client.astradomain.ad

# После данного этапа потребуется перезагрузка

# отключаем соединение
sudo nmcli con down "Проводное соединение 1"

# настраиваем сетевую карту соединения - по умолчанию eth0
sudo nmcli con mod "Проводное соединение 1" connection.interface-name eth0

# настраиваем DNS - вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости указать адрес локального сервера DNS. В нашем случае в качестве DNS сервера выступал сам сервер FreeIPA. Поэтому был указан его IP адрес
sudo nmcli con mod "Проводное соединение 1" ipv4.dns "DNS_SERVER_IP 8.8.8.8"
sudo nmcli con mod "Проводное соединение 1" ipv4.ignore-auto-dns yes

# включаем сетевое соединение
sudo nmcli con up "Проводное соединение 1"


### Для Astra Linux
# устанавливаем графический клиент для подключения к домену
sudo apt-get update
sudo apt-get install fly-admin-freeipa-client

# подключаемся к домену через пользователя admin
sudo fly-admin-freeipa-client


### Для РЕД ОС
# устанавливаем графический клиент для подключения к домену
sudo yum update
sudo yum -y install ipa-client

# подключаемся к домену через пользователя admin
sudo ipa-client-install --mkhomedir --enable-dns-updates


После подключения, настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.


Попробуем подключиться к созданному пользователю user

Аутентификация в качестве пользователя user
su user

Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.

Настройка аутентификации по токену для клиента

Создание заявки на сертификат

Для упрощения настройки был создан скрипт, выполняющий все действия по настройке за вас. Скачаем его:

Установка скрипта настройки
# для Astra linux
sudo apt-get install git
# для Ред ОС
sudo yum install git


git clone https://github.com/AktivCo/linux-domain-user-2fa-tuner
cd linux-domain-user-2fa-tuner

Вставим токен и запустим скрипт (запускать не из под рута! скрипт сам запрашивает пароль администратора, когда это потребуется):

Запуск скрипта настройки
bash ./setup.sh

После ввода пароля в первую очередь необходимо сгенерировать ключ на токене (или использовать существующий) и создать заявку (PKCS#10-запрос) на сертификат нашего ключа.

Выберем существующий ключ или создадим новый.

После генерации ключа на экране отобразится его идентификатор на токене.

После выбора ключа вам будет предложено ввести данные для заявки. Все эти данные являются опциональными, кроме "Общего имени". Туда необходимо ввести имя пользователя, под которым мы хотим аутентифицироваться:

Выберем место, куда сохранить файл с заявкой.

Созданную заявку копируем и отправляем на сервер. Распечатать ее можно, например, с помощью команды:

Вывод заявки
cat cert.csr

Создание сертификата

Переходим к серверу, который получил нашу заявку.

Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку "Идентификация" → "Пользователи" → "Активные пользователи" и выберем нашего пользователя, и на новой вкладке выбираем "Действия"→"Новый сертификат". В открывшееся окне вставляем нашу заявку.

В графе идентификатор пользователя необходимо будет указать caIPAserviceCert

Выданный сертификат можно получить в этой же вкладке, переместившись чуть ниже до пункта с сертификатами.  Нажмём на вкладку "Загрузить" и отправим сертификат пользователю.


Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке "Аутентификация"→"Сертификаты". Выбираем самый первый сертификат и нажимаем на вкладку "Действия"→ "Загрузить".


После этого полученный сертификат пользователя и УЦ отправляем клиенту.

Финальная настройка на стороне клиента

После получения сертификата пользователя и УЦ, вставим токен и запустим скрипт.

Запуск скрипта настройки
bash ./setup.sh

На этот раз выбираем вторую вкладку в разделе меню.

В следующем окне указываем путь до сертификата пользователя:

В следующем окне необходимо указать идентификатор ключа, для которого был выписан сертификат. Вы его должны были запомнить после первого запуска скрипта setup.sh.

В следующем разделе указываем путь до сертификата УЦ.

Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.

Лампочка на токене замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter

  • No labels