Описание стенда
Сервер:
ОС: Windows server 2019
доменное имя: test.rutoken.ru
ip: 172.16.113.102
Клиент:
ОС: MacOS Ventura 13.2
Настройка сервера
Установка сервиса Active Directory
Имя сервера можно задать в окне менеджера сервера:
- Добавление сервисов.
- Настройка домена.
- Добавление новых пользователей.
- Установка центра сертификации Active Directory.
Шаг 1. Добавление необходимых сервисов
Добавьте на сервер сервисы Active Dirrectory и DNS:
- Откройте окно для добавления ролей в менеджере сервера:
2. В окне для выбора сервисов установите галочки Active Directory Domain Services и DNS Server:
3. Нажмите Next.
4. Во всех остальных пунктах даём согласие на установку.
Шаг 2. Настройка домена
После завершения установки сервисов вам надо перейти к настройке домена:
- Откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":
2. На вкладке Deployment Configuration выберите опцию для создания нового домена и укажите его название:
3. Введите пароль сброса:
4. На вкладке DNC Options ничего не меняйте, т.к. сервер сам является DNS сервером:
5. На следующих трёх вкладках также оставьте всё как есть:
6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае уведомления не являются критичными:
После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя.
Шаг 3. Добавление новых пользователей
Чтобы добавить новых пользователей:
- Откройте утилиту управления пользователями и компьютерами домена:
2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:
3. Добавьте нового пользователя User:
4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.
Шаг 4. Установка центра сертификации Active Directory
После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.
Настройка клиента Mac OS
Установка приложения "Рутокен для macOS"
Приложение "Рутокен для macOS" необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах семейства Рутокен.
Чтобы установить это приложение:
- Перейдите на страницу:
https://www.rutoken.ru/support/download/mac/ - На странице Драйверы для macOS щелкните по ссылке Рутокен для macOS.
- Загрузите приложение.
- Перейдите в папку Загрузки.
- Дважды щелкните по названию файла Рутокен для macOS.
- В окне Рутокен для macOS перенесите файл с одноименным названием в папку Applications.
- Перейдите в Launchpad и дважды щелкните по названию приложения Рутокен для macOS.
В окне с подтверждением открытия приложения нажмите Открыть. В результате приложение Рутокен для macOS добавит возможность аутентификации по сертификату в систему.
После установки приложения обязательно перезагрузите компьютер.
- Зайдите в Системные настройки - Сеть и нажмите Подробнее на вашем интернет подключении.
- В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
- Далее перейдите во вкладку DNS, щёлкните на значёк "+" и введите IP адрес вашего доменного сервера.
- Далее в Системных настройках - Пользователи и группы и нажмите Изменить в разделе Сервер сетевых учётных записей.
- Нажмите Открыть Службу каталогов.
- Нажмите на значёк замка слева снизу окна Служба каталогов и выберите Active Directory в разделе Службы.
- Введите имя вашего домена в поле Домен Active Directory. По необходимости, выполните оставшиеся настройки по своим параметрам.
- После применения всех настроек, нажмите кнопку Связать. Потребуется ввести логин и пароль администратора домена.
Настройка SmartcardLogin.plist
Для использования смарт-карты для авторизации доменного пользователя необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.
Для этого выполните следующие действия:
Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Откройте и настройте конфигурационный файл SmartcardLogin.plist
sudo nano /private/etc/SmartcardLogin.plist
Пример настройки SmartcardLogin.plist:<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Далее необходимо настроить права доступа к файлу.
sudo chown root:wheel /private/etc/SmartcardLogin.plist
sudo chmod 644 /private/etc/SmartcardLogin.plist
Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.
plutil -lint /private/etc/SmartcardLogin.plist
/private/etc/SmartcardLogin.plist: OK
Настройка входа пользователя
Чтобы войти доменным пользователем необходимо в Системных настройках перейти во вкладку Экран блокировки и в окне При смене пользователя, в строке Показывать в окне входа, выбрать Поля имени и пароля.
Далее после перезагрузки, вы сможете ввести логин и пароль доменного пользователя для входа.
Когда вы вошли под доменным пользователем, после блокировки экрана или ухода компьютера в сон, потребуется PIN-код от рутокена для возобновления сессии.