Для корректной работы протокола аутентификации Kerberos, а значит и всего домена ALD Pro в целом, необходима служба разрешения имен. В FreeIPA равно как и в ALD Pro используется служба разрешения имен bind 9 и плагин bind-dyndb-ldap, который обеспечивает совместимости службы и базы данных LDAP. Конфигурационные файлы хранятся в папке /etc/bind: Кроме стандартных файлов, создающихся при установке bind 9, тут присутствуют 2 дополнительных файла, предназначенные для работы FreeIPA. Стандартные файлы...
Собственный репозиторий может понадобится для уменьшения сетевого траффика, при массовом обновлении компьютеров или в случае, если по тем или иным причинам, интернет канал не доступен на машине. Создать собственный репозиторий (и управлять им) можно как полностью вручную (создать всю необходимую иерархию каталогов и метаданных), так и воспользовавшись специальной утилитой reprepro, которая сама создаст репозиторий согласно конфигурационного файла, который необходимо будет заполнить (этот способ и будет нам разобран)...
Вопрос синхронизации времени требует отдельного рассмотрения, так как для работы протокола проверки подлинности Kerberos необходимо, чтобы время на клиенте и на сервере расходилось не более, чем на 5 минут. Протокол NTP - (Network Time Protocol — протокол сетевого времени) - сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью. Латентность - это в данном случае задержка передачи пакета по сети (время, требующееся пакету данных, чтобы преодолеть путь от одного компьютера в сети до другого)...
Репликация — это процесс, в ходе которого содержимое каталога синхронизируется между серверами, за счет чего достигается целостность данных или так называемая конвергентность. Согласно теореме CAP, в любой реализации распределенных вычислений возможно обеспечить не более двух параметров из трех: В случае со службой каталога, из трех параметров теоремы CAP целостность данных имеет наименьший приоритет. Служба каталога должна обеспечивать в первую очередь доступность данных и быть устойчива к разделению,...
Репликация данных - это синхронизация информации в базах данных каталога LDAP между контроллерами домена. Реплика - это второй контроллер, партнер по репликации. Изменения в базе, сделанные на любом контроллере домена, должны быть среплицированы на все остальные контроллеры домена. Резервный сервер dc2.ald.local, должен быть с такими же системными параметрами как первый контроллер домена. Они должны быть равны по объему оперативной памяти и количеству ядер, т. к. реплика будет содержать в базе...
Программный комплекс ALD Pro – это служба каталога для Linux. Он позволяет управлять парком компьютеров организации с помощью групповых политик через интуитивно понятный интерфейс. Дополнительно в системе реализованы функции автоматизированной установки ОС и ПО по сети на компьютеры в домене, удаленный доступ к рабочим столам пользователей и мониторинг состояния сервисов службы каталога. Рекомендации по именованию домена ALD Pro и компьютеров в нем: Рекомендации по планированию ресурсов службы каталога...
ALDPro Management ALDPro Management - портал управления. Портал управления, это программа с веб интерфейсом, через который осуществляется управление ALD Pro и её подсистемами в графическом режиме. FreeIPA FreeIPA (Free Identity, Policy and Audit, бесплатная идентификация, политика и аудит) — открытое программное обеспечение, специализированная служба каталогов, предназначенная для создания в ОС Linux среды, позволяющей централизованно управлять аутентификацией пользователей, устанавливать политики доступа и аудита...
Программный комплекс ALD Pro – это служба каталога для Linux. Он позволяет управлять парком компьютеров организации с помощью групповых политик через интуитивно понятный интерфейс. Дополнительно в системе реализованы функции автоматизированной установки ОС и ПО по сети на компьютеры в домене, удаленный доступ к рабочим столам пользователей и мониторинг состояния сервисов службы каталога...
На сегодняшний день, существует несколько реализаций служб каталогов, включая: Microsoft Active Directory Служба каталогов корпорации Microsoft для операционных систем семейства Windows Server. Первоначально создавалась, как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия...
Ссылка на видео по этой статье! Сертифицированная система защиты информации на рабочих станциях и серверах для российских ОС семейства Linux Сертифицировано ФСТЭК России Назначение Secret Disk для Linux Состав стенда и требования к ОС Установка Secret Disk для Linux 2.0 производится на трех серверах Astra Linux SE 1.7.3, которые входят в домен ALD Pro 2.2.1. Версию ОС необходимо проверить: cat /etc/astra_version cat /etc/astra/build_version Установка Консоли управления Установка Консоли управления выполняется на сервере sdl-console...
Все современные службы каталогов удовлетворяют стандартам серии X.500, которые описывают концепции, модели, структуры, классы, процедуры операций, репликацию данный, системы управления и другие аспекты служб каталогов. Стандарты серии X.500 Начиная с 1984 года компания ITU-T (сектор стандартизации телекоммуникаций международного союза телекоммуникации) разрабатывает серию стандартов для компьютерных сетей включающие электронную службу каталогов. Это стандарты серии X.500, которые разрабатывались для поддержки требований стандартов X...
Для нейтрализации угроз эксплуатирующих ряд уязвимостей в Astra Linux 1.7 есть возможность для непривилегированных пользователей активировать блокировку интерпретаторов, и интерпретатора bash. Блокировка интерпретатора bash может ограничить функционал некоторых программ и служб, не очевидным образом использующих bash, что приведет к нарушению штатной работы ОС, поэтому его необходимо включать после предварительного тестирования в Вашей системе. После блокировки интерпретатора bash консольный вход пользователей с оболочкой bash будет невозможен...