Как подружить ALD Pro и Active Directory штатными средствами?

Автор: Фирсин Сергей Викторович

Организация: СПб ГБ ПОУ «Радиотехнический колледж»

Населенный пункт: г. Санкт-Петербург

Аннотация:

В данной статье рассматривается процесс интеграции двух популярных систем управления идентификацией и доступом - ALD Pro и Active Directory. ALD Pro представляет собой мощный инструмент для управления доступом в корпоративных средах, тогда как Active Directory является стандартным каталогом служб Windows, широко применяемым в организациях по всему миру. Мы исследуем методы и средства, доступные для этих двух систем без использования сторонних решений.

Введение:

Целью проектов по импорт замещению в области информационных технологий является полный переход от операционной системы Windows. Однако, как говорят, планы могут столкнуться с препятствиями на практике. Замена некоторых корпоративных приложений, написанных под Windows, может оказаться нетривиальной задачей. В таком случае вам может пригодиться возможность подключения компьютеров с Windows к домену ALD Pro.

В этой статье мы рассмотрим, как добиться максимальной эффективности при таком сценарии развертывания. Если вы искали информацию по этой теме, но не знали, где ее найти, то вы на правильном пути. Давайте начнем!

Даже если ваша инфраструктура пока еще использует стандартную систему FreeIPA, этот материал будет полезен.

Присоединение клиентов с Windows к домену FreeIPA не является основной целью команды разработчиков этой службы каталога, так как их задача - не заменить Active Directory для компьютеров с Windows, а предоставить аналогичное решение для систем с Linux. Тем не менее, компания Microsoft поддерживает возможность интеграции своих операционных систем с областями Kerberos, совместимыми с RFC 2136, начиная с версии Windows 2000, а центр распределения ключей FreeIPA работает на базе эталонной реализации MIT KDC. Таким образом, нет препятствий для включения компьютеров с Windows в домен FreeIPA.

 

Инициирование соединения со стороны АЛД Про

- с любого компьютера в локальной сети зайти в веб-консоль управления FreeIPA, не самого АЛД:

• https://dc/ipa/ui

(проще всего включить обратно глобальный интерфейс на клиенте АЛД и скачать пакеты браузера Firefox:

• sudo apt install firefox

после того как пакеты установятся, запустить браузер можно через Пуск – поиск; далее снова отключить глобальный интерфейс)

• IPA-сервер – Отношения доверия – Отношения доверия - Добавить
• домен: [имя домена Active Directory]
• галочка «двустороннее отношение»
• установить с помощью: [ввести учетные данные «администратора для синхронизации доменов», которого ранее создавали на контроллере AD]
• тип диапазона: Домен AD

кнопка «Добавить»

Принятие соединения со стороны Active Directory

- Диспетчер серверов – оснастка «Домены и доверие» - «Свойства» вашего домена – Отношения доверия

- здесь отношение доверия уже может настроиться автоматически, в таком случае перейти к пункту 2). Если доверия еще нет, перейти к пункту 1)

 

1)

• • • «Создать отношение доверия»
    • имя: [ваш.домен АЛД]
    • тип доверия: доверие леса
    • направление: двунаправленное
    • для кого создать: только для этого домена
    • проверка: проверка леса
    • пароль доверия: [любой, но его желательно запомнить]
    • подтвердить исходящее доверие
    • подтвердить входящее доверие (учетные данные admin/[ваш пароль администратора АЛД]

 

2) Проверка применения настроек пересылки DNS:

Свойства – Отношения доверия – Свойства – Маршрутизация суффиксов имен: здесь должен автоматически настроиться редирект суффикса «*.ваш.домен АЛД»:

Выполнение перекрестного входа в домен

- перезагрузить AD, АЛД, клиента АЛД

- на клиенте АЛД совершить вход в домен Active Directory с учетными данными пользователя-клиента (создавали ранее при настройке контроллера Active Directory)

(в списке доступных доменов AD может появиться не сразу; стоит подождать около 5 минут, прежде чем считать недоступность ошибкой)

Заключение:

Интеграция ALD Pro и Active Directory с использованием стандартных средств представляет собой важный шаг в обеспечении безопасности и эффективного управления доступом в корпоративной среде. Реализация данного процесса требует внимательной настройки и тщательного тестирования, однако результаты могут значительно повысить эффективность управления информационными ресурсами организации.

Опубликовано: 11.05.2024