Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Описание стенда

Сервер:

ОС: Windows server 2019

доменное имя: test.rutoken.ru

ip: 172.16.113.102

Клиент:

ОС: MacOS Ventura 13.2

Настройка сервера

Установка сервиса Active Directory


При необходимости измените имя сервера. Это необходимо сделать до выполнения его настройки.

Имя сервера можно задать в окне менеджера сервера:

Процедура установки состоит из следующих шагов:

  1. Добавление сервисов.
  2. Настройка домена.
  3. Добавление новых пользователей.
  4. Установка центра сертификации Active Directory.

Шаг 1. Добавление необходимых сервисов

Добавьте на сервер сервисы Active Dirrectory и DNS:

  1. Откройте окно для добавления ролей в менеджере сервера:


2. В окне для выбора сервисов установите галочки Active Directory Domain Services и DNS Server:

3. Нажмите Next.

4. Во всех остальных пунктах даём согласие на установку.

Шаг 2. Настройка домена

После завершения установки сервисов вам надо перейти к настройке домена:

  1. Откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":

2. На вкладке Deployment Configuration выберите опцию для создания нового домена и укажите его название:


3. Введите пароль сброса:


4. На вкладке DNC Options ничего не меняйте, т.к. сервер сам является DNS сервером:

 


5. На следующих трёх вкладках также оставьте всё как есть:


6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае уведомления не являются критичными:


После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя. 

Шаг 3. Добавление новых пользователей

Чтобы добавить новых пользователей:

  1. Откройте утилиту управления пользователями и компьютерами домена:


2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:

3. Добавьте нового пользователя User:


4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Шаг 4. Установка центра сертификации Active Directory


Перед процедурой установите драйверы для работы с Рутокеном на сервер, ссылка на актуальную версию: https://www.rutoken.ru/support/download/windows/

После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.


Настройка клиента Mac OS

Установка приложения "Рутокен для macOS"

Приложение "Рутокен для macOS" необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах семейства Рутокен.

Чтобы установить это приложение:

  1. Перейдите на страницу:
    https://www.rutoken.ru/support/download/mac/
  2. На странице Драйверы для macOS щелкните по ссылке Рутокен для macOS.
  3. Загрузите приложение.
  4. Перейдите в папку Загрузки.
  5. Дважды щелкните по названию файла Рутокен для macOS
  6. В окне Рутокен для macOS перенесите файл с одноименным названием в папку Applications.
  7. Перейдите в Launchpad и дважды щелкните по названию приложения Рутокен для macOS.
  8. В окне с подтверждением открытия приложения нажмите Открыть. В результате приложение Рутокен для macOS добавит возможность аутентификации по сертификату в систему.

    После установки приложения обязательно перезагрузите компьютер.



Настройка Сети

  1. Зайдите в Системные настройки - Сеть и нажмите Подробнее на вашем интернет подключении.
  2. В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
  3. Далее перейдите во вкладку DNS, щёлкните на значёк "+" и введите IP адрес вашего доменного сервера.
  4. Далее в Системных настройках - Пользователи и группы и нажмите Изменить в разделе Сервер сетевых учётных записей.

  5. Нажмите Открыть Службу каталогов.
  6. Нажмите на значёк замка слева снизу окна Служба каталогов и выберите Active Directory в разделе Службы.

  7. Введите имя вашего домена в поле Домен Active Directory. По необходимости, выполните оставшиеся настройки по своим параметрам.
  8. После применения всех настроек, нажмите кнопку Связать. Потребуется ввести логин и пароль администратора домена.

Настройка SmartcardLogin.plist

Для использования смарт-карты для авторизации доменного пользователя необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.

Для этого выполните следующие действия:

  1. Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:

    sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO

  2. Откройте и настройте конфигурационный файл SmartcardLogin.plist

    sudo nano /private/etc/SmartcardLogin.plist


    Пример настройки SmartcardLogin.plist:

    <?xml version="1.0" encoding="UTF-8"?>

    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

    <plist version="1.0">

    <dict>

    <key>AttributeMapping</key>

    <dict>

    <key>fields</key>

    <array>

    <string>NT Principal Name</string>

    </array>

    <key>formatString</key>

    <string>Kerberos:$1</string>

    <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string>

    </dict>

    </dict>

    </plist>

  3. Далее необходимо настроить права доступа к файлу.

    sudo chown root:wheel /private/etc/SmartcardLogin.plist

    sudo chmod 644 /private/etc/SmartcardLogin.plist

  4. Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.

    plutil -lint /private/etc/SmartcardLogin.plist

    /private/etc/SmartcardLogin.plist: OK


Настройка входа пользователя

Чтобы войти доменным пользователем необходимо в Системных настройках перейти во вкладку Экран блокировки и в окне При смене пользователя, в строке Показывать в окне входа, выбрать Поля имени и пароля.


Далее после перезагрузки, вы сможете ввести логин и пароль доменного пользователя для входа.

Когда вы вошли под доменным пользователем, после блокировки экрана или ухода компьютера в сон, потребуется PIN-код от рутокена для возобновления сессии.


  • No labels