Портал документации Рутокен

Page tree

Описание стенда

Клиент

  • ОС: Astra Linux 1.7.9.
  • Хост: ASTRA-SERV.DEMO.LOCAL.
  • Локальный пользователь: astra-adm.
  • Установлен Рутокен Логон.
  • Введен в домен с помощью скрипта Логона.
  • Настроена доменная 2ФА. 

Сервер

  • ОС: Windows Server 2019.
  • Сервер с Active Directory.
  • Хост: keybox.demo.local.
  • Доменный пользователь: Viktor.Osipov.

Предварительная настройка:

Перед началом настройки SSO по RDP необходимо:

  1. Настроить Windows сервер для работы с устройствами Рутокен. 

    Для настройки можно воспользоваться статьей.

  2. Введите клиент Astra Linux в домен.
  3. Настройте 2ФА на клиенте Astra Linux для доменного пользователя с помощью Рутокен Логон.
    Настройка ОС и 2ФА описана в Руководстве Администратора к Рутокен Логон для Linux в разделах «Настройка ОС для работы с 2ФА» и «Настройка 2ФА».

    Скачать Руководство можно на сайте.

Настройка Windows Server

  1. Настройте разрешение на удалённое подключение.
    1. Откройте Панель управления.
    2. Перейдите во вкладку Система и безопасность, далее во вкладку Система.
    3. Нажмите Изменить параметры, перейдите на вкладку Удаленный доступ и включите Разрешить удаленные подключения к этому компьютеру.



  2. Разрешите функцию Restricted Admin.
    Откройте PowerSell от имени администратора и введите команду:
    New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa" -Name "DisableRestrictedAdmin" -Value "0" -PropertyType DWORD -Force
  3. Добавьте доменного пользователя.
    1. Откройте локальную политику безопасности — нажмите Win+R и введите secpol.msc.
    2. Перейдите в Локальные политики (Local Policies), далее Назначение прав пользователя (User Rights Assignment).
    3. Зайдите в Разрешить вход в систему через службу удалённых рабочих столов (Allow log on through Remote Desktop Services).
    4. Нажмите Добавить пользователя или группу... и добавьте пользователя.
  4. Добавьте доменного пользователя в группу Пользователи удалённого рабочего стола.
    1. Нажмите Win+R и откройте службу dsa.msc.
    2. Добавьте пользователя в группу Пользователи удалённого рабочего стола  (Remote Desktop Users).
  5. Перезагрузите сервер.

Настройка Astra Linux 

  1. Установите и настройте Рутокен Логон на 2ФА на доменного пользователя.
  2. Установите дополнительно необходимые пакеты:
    sudo apt update
sudo apt install krb5-user libpam-krb5 freerdp3-x11
  3. Скорректируйте конфигурационный файл /etc/krb5.conf.
    В раздел [libdefaults] добавить:
    forwardable = true
rdns = false
    В раздел [realms] исправить:
    DEMO.LOCAL
kdc = keybox.demo.local
admin_server = keybox.demo.local
  4. Аутентифицируйтесь доменным пользователем с помощью Рутокен.
  5. Подключитесь к удалённому рабочему столу контроллера домена RDP по xfreerdp3:
    xfreerdp3 /v:keybox.demo.local /u:Viktor.Osipov /d:DEMO.LOCAL /cert:ignore /remoteGuard
  6. Подключение не должно запрашивать пароль или PIN-код.
    После подключения, klist должен иметь билет TERMSRV.
    После подключения, klist должен выглядеть следующим образом:
    Ticket cache: KEYRING:persistent:473401106:krb_ccache_HsA91lL
Default principal: Viktor.Osipov@DEMO.LOCAL

Valid starting Expires Service principal
25.02.2026 12:56:06 25.02.2026 22:55:18 HOST/keybox.demo.local@
renew until 04.03.2026 12:55:17
Ticket server: HOST/keybox.demo.local@DEMO.LOCAL
25.02.2026 12:56:06 25.02.2026 22:55:18 TERMSRV/keybox.demo.local@
renew until 04.03.2026 12:55:17
Ticket server: TERMSRV/keybox.demo.local@DEMO.LOCAL
25.02.2026 12:55:18 25.02.2026 22:55:18 krbtgt/DEMO.LOCAL@DEMO.LOCAL
renew until 04.03.2026 12:55:17
  • No labels