Портал документации Рутокен

Page tree

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Клиент

  • ОС: Astra Linux 1.7.9
  • Хост: ASTRA-SERV.DEMO.LOCAL
  • Локальный пользователь: astra-adm
  • В домен введён с помощью скрипта Логона.
  • Установлен Рутокен Логон.
  • Настроена доменная 2ФА. 

Windows-сервер с Active Directory

  • ОС: Windows Server 2019
  • Хост: keybox.demo.local
  • Доменный пользователь: Viktor.Osipov


Предварительная настройка:

Перед началом настройки SSO по RDP, вам необходимо:

  1. Настройте Windows сервер для настройки двухфакторной аутентификации по Рутокену.
    https://dev.rutoken.ru/pages/viewpage.action?pageId=194805818

  2. Введите клиент Astra Linux в домен.

  3. Настройте 2ФА на клиенте Astra Linux на доменного пользователя с помощью Рутокен Логон.
    Настройка ОС и 2ФА описана в Руководстве Администратора к Рутокен Логон для Linux в разделах "Настройка ОС для работы с 2ФА" и "Настройка 2ФА".
    https://www.rutoken.ru/support/download/rutoken-logon-for-linux/

Настройка Windows Server:

  1. Настройте разрешение на удалённое подключение.
    Панель управления - Система и безопасность - Система - Имя компьютера, имя домена и параметры рабочей группы - Изменить параметры - Удалённый доступ - Удалённый рабочий стол -  Разрешить удаленные подключения к этому компьютеру



  2. Разрешите функцию Restricted Admin.
    Откройте PowerSell от имени администратора и введите команду:
    New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa" -Name "DisableRestrictedAdmin" -Value "0" -PropertyType DWORD -Force

  3. Откройте локальную политику безопасности: secpol.msc
    Локальные политики - Назначение прав пользователя - Разрешить вход в систему через службу удалённых рабочих столов.
    Добавьте доменного пользователя.
    (Local Policies  User Rights Assignment - Allow log on through Remote Desktop Services

  4. Откройте службу: dsa.msc
    Добавить доменного пользователя в группу Пользователи удалённого рабочего стола  (Remote Desktop Users).

  5. Перезагрузите сервер.




Настройка Astra Linux 

  1. Установите и настройте Рутокен Логон на 2ФА на доменного пользователя.

  2. Установите дополнительно необходимые пакеты:
    sudo apt update
    sudo apt install krb5-user libpam-krb5 freerdp3-x11

  3. Скорректируйте конфигурационный файл /etc/krb5.conf.
    В раздел [libdefaults] добавить:
    forwardable = true
    rdns = false

    В раздел [realms] исправить:
    DEMO.LOCAL
    kdc = keybox.demo.local
    admin_server = keybox.demo.local

  4. Аутентифицируйтесь доменным пользователем по Рутокену.

  5. Подключитесь к удалённому рабочему столу контроллера домена RDP по xfreerdp3:
    xfreerdp3 /v:keybox.demo.local /u:Viktor.Osipov /d:DEMO.LOCAL /cert:ignore /remoteGuard

  6. Подключение не должно запрашивать пароль или PIN-код.
    После подключения, klist должен иметь билет TERMSRV.
    После подключения, klist должен выглядеть следующим образом:

    Ticket cache: KEYRING:persistent:473401106:krb_ccache_HsA91lL
    Default principal: Viktor.Osipov@DEMO.LOCAL

    Valid starting Expires Service principal
    25.02.2026 12:56:06 25.02.2026 22:55:18 HOST/keybox.demo.local@
    renew until 04.03.2026 12:55:17
    Ticket server: HOST/keybox.demo.local@DEMO.LOCAL
    25.02.2026 12:56:06 25.02.2026 22:55:18 TERMSRV/keybox.demo.local@
    renew until 04.03.2026 12:55:17
    Ticket server: TERMSRV/keybox.demo.local@DEMO.LOCAL
    25.02.2026 12:55:18 25.02.2026 22:55:18 krbtgt/DEMO.LOCAL@DEMO.LOCAL
    renew until 04.03.2026 12:55:17

  • No labels