Безопасная работа в домене ALD Pro на базе FreeIPA или как хранить ключ от квартиры, где деньги лежат

[Johan_Palych]

Материал будет полезен даже в том случае, если в вашей инфраструктуре пока еще используется ванильная система FreeIPA.

Как ванильная система ALD Pro решает такие задачи?

• В проде для высокой доступности FreeIPA желательны минимум 2 реплики.
  https://freeipa.org/page/Deployment_Recommendations#servers-replicas
  Generally it is recommended to have at least 2-3 replicas in each datacenter.

• Настройка доверительных отношений FreeIPA - Active Directory
  https://wiki.astralinux.ru/pages/viewpage.action?pageId=27362481

[AnatolijL]

В проде для высокой доступности FreeIPA желательны минимум 2 реплики.

Для создания резервного контроллера на портале управления ALD Pro достаточно назначить второму серверу роль контроллера, и установка подсистемы будет выполнена автоматически средствами SaltStack.

Настройка доверительных отношений FreeIPA - Active Directory

Настройку доверительных отношений с Active Directory можно выполнить как из командной строки, так и через портал управления ALD Pro. С версии 2.1.0 в ALD Pro станет доступен модуль глобального каталога, который значительно упростит настройку прав доступа. Очень рекомендуем ознакомиться с другой нашей статьей, в которой эти вопросы рассматриваются наиболее подробно https://habr.com/ru/companies/astralinux/articles/734788/

[AaaZzz]

/

[S0L0]

Чтобы не блокировать учетные записи по одной, в продукте ALD Pro для управления операционными системами Astra Linux есть специальная групповая политика, которую можно найти в «Параметры компьютеров > Безопасность > Политика безопасности > Политика локального входа».

Только вот эта политика работает на "Смоленске" и "Воронеже", а в "Орле" - нет, и значит не вариант на неё надеяться...

[verRaR]

HBAC отлично вливается в существующие правила FreeIPA, даже просто дополняет ее, а как же сложность производства данной системы? По факту нужен очень умный админ чтобы таким промышлять, сложность отладки, конфигурации, да еще и слабая обратная совместимость. Низкий поклон тому челу который выучит и внедрит эту штуку с нуля в оргу

[sasShaW]

Конечно если ваша орга использует Астру с пакетами yum и dnf то полезная ИСУ, в ОС они конечно встроенные вроде как идут, но система то открытая, ничего не мешает админу поменять их на более удобные темы. В FreeIPA поддерживаются определенные методы аутентификации, что может быть ограничением в определенных сценариях, допустим если админ знаком с этой системой то вам крупно повезло

[sajko]

Если работает 1-2 админа на компанию смысла особого от ограничения доступа нету, т.к в любой момент по факту его можно поменять, да и делать защитную астру еще более защищенной смысла особого тоже нету, это как играть не 4-4-2, а 5-4-1, по факту толку мало, хоть и HBAC и протокол SSH очень качественные продукты, но так сильно нагружать систему всяким не стоит, если вы конечно не бигкомпани, которым каждая буковка на вес золота. Подойдет и примитивная NoMachine или VNC

[komPot15]

Метод SSH в этой сфере по факту просто защищенный доступ, который и так обеспечивает сама система Астры, хоть и это можно сказать и необходимо, использование ключей-SSH, OTP и тот же HBAC отлично покажут себя в связке, но ставить на и так защищенную систему, это как матрешка. А вот если полетит FREEIPA в моменте, ssh доступ то же даст кони, и че делать?

[AnatolijL]

В небольших организация разворачивать еще одну систему может показаться избыточным, но если парк компьютеров больше 100 единиц, то использование локальных паролей и SSH ключей станет головной болью, и централизованная служба каталога может стать спасением.

Для обеспечения отказоустойчивости в домене предполагается развертывание двух и более контроллеров. Плюс внутри клиентской части SSSD по умолчанию включено кэширование, что обеспечивает возможность входа в операционную систему, даже если ноутбук окажется вне локальной сети.

[igirdr]

Например, для подключения по RDP потребуются fly-wm и xrdp-sesman

RDP является протоколом, используемым для удаленного доступа к Windows-системам, как его использовать через FreeIpa в Линуксе?)
Конечно это же Линукс, мы можете сделать все через костыли, хотя в статье упоминается в частности SSH, который как раз является заменой данному протоколу, даже по факту лучшим аналогом, учитывая пропуск и защиту, хотя я бы еще посоветовал посмотреть на VNC, удобная штука, хоть и менее защищенная

[AnatolijL]

Для того, чтобы подключиться к Linux компьютеру по протоколу RDP на хост нужно установить xrdp. В качестве клиентского приложения можно использовать Remmina. Оба программных продукта есть в составе репозиториев Astra Linux Special Eddition.