Описание стенда
Сервер:
ОС: Windows server Server 2019
доменное Доменное имя: test.rutoken.ru
ipIP: 172.16.113.102
Клиент:
ОС: MacOS macOS Ventura 13.2
Настройка сервера
...
Чтобы настроить сервер, установите сервис Active Directory
...
icon | false |
---|
.
До установки сервиса можно изменить
...
имя сервера.
...
Имя сервера можно задать Чтобы это сделать, задайте новое имя в окне менеджера сервера:, в поле Computer name.
Установка сервиса Active Directory
- Добавление сервисов.
- Настройка домена.
- Добавление новых пользователей.
- Установка центра сертификации Active Directory.
Шаг 1. Добавление необходимых сервисов
Добавьте на сервер сервисы Active DirrectoryDirectory и DNS. Чтобы это сделать:
...
1. Откройте окно для добавления ролей в менеджере сервера
...
.
2. В окне для выбора сервисов установите поставьте галочки Active Directory Domain Services и DNS Server:.
3. Нажмите Next.
4. Во всех остальных пунктах даём Далее дайте согласие на установку.
...
5.
...
После завершения установки сервисов вам надо перейти , перейдите к настройке домена.
Шаг 2. Настройка домена
Чтобы настроить домен:
1. Откройте меню уведомлений и
...
щёлкните по ссылке Promote this server to a domain controller
...
.
2. На вкладке Deployment Configuration выберите опцию для создания нового домена Add a new forest и в поле Root domain name укажите его название:. Нажмите Next.
3. Введите На вкладке Domain Controller Options введите пароль сброса:. Нажмите Next.
4. На вкладке DNC DNS Options ничего не меняйте, т.к. сервер сам является DNS-сервером:. Нажмите Next.
5. На следующих трёх вкладках также оставьте всё как есть:
тоже ничего не меняйте, просто нажимайте Next.
6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае примере уведомления не являются критичными:.
После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя.
Шаг 3. Добавление новых пользователей
Чтобы добавить новых пользователей:
1. Откройте утилиту управления пользователями и компьютерами домена
...
.
2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:. В правой части окна щёлкните на пустом месте и выберите New → Organizational Unit.
В поле Name укажите имя директории Domain Users.
3. Добавьте нового пользователя User:User. В правой части окна щёлкните на пустом месте и выберите New → User.
Укажите данные пользователя.
Проверьте указанные данные и нажмите Finish.
4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.
Шаг 4. Установка центра сертификации Active Directory
Info | ||
---|---|---|
| ||
Перед процедурой установите на сервер драйверы для работы с Рутокеном на сервер, ссылка наустройствами Рутокен. Ссылка на актуальную версию: https://www.rutoken.ru/support/download/windows/ |
После этого можно приступить перейдите к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.
Настройка клиента
...
Установка приложения "Рутокен для macOS"
Приложение "Рутокен для macOS" необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах семейства Рутокен.
Чтобы установить это приложение Рутокен для macOS:
- Перейдите на страницу:
https://www.rutoken.ru/support/download/mac/ - На странице Драйверы для macOS щелкните по ссылке нажмите Рутокен для macOS.
- Загрузите приложениепрограмму установки.
- Перейдите в папку Загрузки .Дважды щелкните по названию файла и запустите только что скачанную программу установки Рутокен для macOS.
- В окне Рутокен для macOS перенесите файл с одноименным названием перенесите значок приложения в папку Applications, удерживая правую кнопку мыши.
- Перейдите в Launchpad и дважды щелкните по названию приложения Рутокен для macOS. В окне с подтверждением открытия приложения
- Найдите в этой папке приложение Рутокен для macOS и два раза щелкните по нему.
7. Чтобы подтвердить открытие приложения, нажмите Открыть. В результате
...
на экране отобразится уведомление о том, что система настроена.
После установки приложения обязательно перезагрузите компьютер.
...
- Зайдите в Системные настройки - — Сеть и нажмите Подробнее на вашем интернет подключении.
- В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
- Далее перейдите Перейдите во вкладку DNS, щёлкните нажмите на значок "+" и введите IP адрес вашего доменного сервера.
- Далее в Системных настройках - Перейдите в Системные настройки — Пользователи и группы.
- В и нажмите Изменить в разделе Сервер сетевых учётных записей нажмите Изменить.
- Нажмите Открыть Службу каталогов...
- Нажмите на значок замка слева снизу окна Служба каталогов и в разделе Служба выберите выберите Active Directoryв разделе Службы.
- Введите имя вашего домена в поле Домен Active Directory. По При необходимости, выполните оставшиеся настройки по своим параметрам.
- После применения всех настроек, нажмите кнопку Связать. Потребуется ввести логин и пароль администратора домена.
Настройка SmartcardLogin.plist
Для использования Чтобы использовать смарт-карты карту для авторизации доменного пользователя, необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.
Для этого выполните следующие действияЧтобы создать и настроить SmartcardLogin.plist:
Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:
sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO
Откройте и настройте конфигурационный файл SmartcardLogin.plist
sudo nano /private/etc/SmartcardLogin.plist
Пример настройки SmartcardLogin.plist:<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>AttributeMapping</key>
<dict>
<key>fields</key>
<array>
<string>NT Principal Name</string>
</array>
<key>formatString</key>
<string>Kerberos:$1</string>
<key>dsAttributeString</key>
<string>dsAttrTypeStandard:AltSecurityIdentities</string>
</dict>
</dict>
</plist>
Далее необходимо настроить Настройте права доступа к файлу.
sudo chown root:wheel /private/etc/SmartcardLogin.plist
sudo chmod 644 /private/etc/SmartcardLogin.plist
Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.
plutil -lint /private/etc/SmartcardLogin.plist
/private/etc/SmartcardLogin.plist: OK
Info Подробнее про конфигурацию SmartcardLogin.plist можно прочитать на странице техподдержки Apple.
Настройка входа пользователя
Чтобы войти доменным пользователем необходимо в :
- В Системных настройках
...
- передите в Экран блокировки
...
- .
- В разделе При смене пользователя, в строке Показывать в окне входа,
...
- выберите поля имени и пароля.
...
3. Перезагрузите компьютер. После перезагрузки вы сможете ввести логин и пароль доменного пользователя для входа.
...
4. После блокировки экрана или ухода компьютера в сон, потребуется PIN-код от
...
Рутокен для возобновления сессии.