Описание стенда

Сервер

ОС: Windows Server 2019

Доменное имя: test.rutoken.ru

IP: 172.16.113.102

Клиент

ОС: macOS Ventura 13.2

Настройка сервера

Чтобы настроить сервер, установите сервис Active Directory.

До установки сервиса можно изменить имя сервера. Чтобы это сделать, задайте новое имя в окне менеджера сервера, в поле Computer name.

После этого начните процедуру установки Active Directory.

Установка сервиса Active Directory

Процедура установки состоит из следующих шагов:

  1. Добавление сервисов.
  2. Настройка домена.
  3. Добавление новых пользователей.
  4. Установка центра сертификации Active Directory.

Шаг 1. Добавление необходимых сервисов

Добавьте на сервер сервисы Active Directory и DNS. Чтобы это сделать:

  1. Откройте окно для добавления ролей в менеджере сервера.

2. В окне для выбора сервисов поставьте галочки Active Directory Domain Services и DNS Server.

3. Нажмите Next.

4. Далее дайте согласие на установку.

5. После завершения установки сервисов, перейдите к настройке домена.

Шаг 2. Настройка домена

Чтобы настроить домен:

1. Откройте меню уведомлений и щёлкните по ссылке Promote this server to a domain controller.


2. На вкладке Deployment Configuration выберите опцию для создания нового домена Add a new forest и в поле Root domain name укажите его название. Нажмите Next.


3. На вкладке Domain Controller Options введите пароль сброса. Нажмите Next.


4. На вкладке DNS Options ничего не меняйте, т.к. сервер сам является DNS-сервером. Нажмите Next.

 


5. На следующих трёх вкладках тоже ничего не меняйте, просто нажимайте Next.


6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем примере уведомления не являются критичными.


После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя. 

Шаг 3. Добавление новых пользователей

Чтобы добавить новых пользователей:

1. Откройте утилиту управления пользователями и компьютерами домена.


2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей. В правой части окна щёлкните на пустом месте и выберите New → Organizational Unit. 

В поле Name укажите имя директории Domain Users.

3. Добавьте нового пользователя User. В правой части окна щёлкните на пустом месте и выберите New → User.

Укажите данные пользователя.

Проверьте указанные данные и нажмите Finish.


4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Шаг 4. Установка центра сертификации Active Directory


Перед процедурой установите драйверы для работы с Рутокеном на сервер, ссылка на актуальную версию: https://www.rutoken.ru/support/download/windows/

После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.


Настройка клиента Mac OS

Установка приложения "Рутокен для macOS"

Приложение "Рутокен для macOS" необходимо для настройки двухфакторной аутентификации в macOS с использованием сертификатов, записанных на устройствах семейства Рутокен.

Чтобы установить это приложение:

  1. Перейдите на страницу:
    https://www.rutoken.ru/support/download/mac/
  2. На странице Драйверы для macOS щелкните по ссылке Рутокен для macOS.
  3. Загрузите приложение.
  4. Перейдите в папку Загрузки.
  5. Дважды щелкните по названию файла Рутокен для macOS
  6. В окне Рутокен для macOS перенесите файл с одноименным названием в папку Applications.
  7. Перейдите в Launchpad и дважды щелкните по названию приложения Рутокен для macOS.

  8. В окне с подтверждением открытия приложения нажмите Открыть. В результате приложение Рутокен для macOS добавит возможность аутентификации по сертификату в систему.

    После установки приложения обязательно перезагрузите компьютер.



Настройка Сети

  1. Зайдите в Системные настройки - Сеть и нажмите Подробнее на вашем интернет подключении.


  2. В открывшемся окне проверьте, чтобы ваш IP адрес находился в той же подсети, что и ваш доменный сервер.
  3. Далее перейдите во вкладку DNS, щёлкните на значок "+" и введите IP адрес вашего доменного сервера.


  4. Далее в Системных настройках - Пользователи и группы и нажмите Изменить в разделе Сервер сетевых учётных записей.


  5. Нажмите Открыть Службу каталогов.


  6. Нажмите на значок замка слева снизу окна Служба каталогов и выберите Active Directory в разделе Службы.


  7. Введите имя вашего домена в поле Домен Active Directory. По необходимости, выполните оставшиеся настройки по своим параметрам.


  8. После применения всех настроек, нажмите кнопку Связать. Потребуется ввести логин и пароль администратора домена.

Настройка SmartcardLogin.plist

Для использования смарт-карты для авторизации доменного пользователя необходимо создать и настроить конфигурационный файл SmartcardLogin.plist.

Для этого выполните следующие действия:

  1. Откройте Терминал и введите следующую команду для отключения уведомления привязки токена к локальному пользователю:

    sudo defaults write /Library/Preferences/com.apple.security.smartcard UserPairing -bool NO

  2. Откройте и настройте конфигурационный файл SmartcardLogin.plist

    sudo nano /private/etc/SmartcardLogin.plist


    Пример настройки SmartcardLogin.plist:

    <?xml version="1.0" encoding="UTF-8"?>

    <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">

    <plist version="1.0">

    <dict>

    <key>AttributeMapping</key>

    <dict>

    <key>fields</key>

    <array>

    <string>NT Principal Name</string>

    </array>

    <key>formatString</key>

    <string>Kerberos:$1</string>

    <key>dsAttributeString</key> <string>dsAttrTypeStandard:AltSecurityIdentities</string>

    </dict>

    </dict>

    </plist>

  3. Далее необходимо настроить права доступа к файлу.

    sudo chown root:wheel /private/etc/SmartcardLogin.plist

    sudo chmod 644 /private/etc/SmartcardLogin.plist

  4. Проверьте правильность конфигурационного файла. Следующая команда должна вывести OK.

    plutil -lint /private/etc/SmartcardLogin.plist

    /private/etc/SmartcardLogin.plist: OK

    Подробнее про конфигурацию  SmartcardLogin.plist можно прочитать на странице техподдержки Apple.

Настройка входа пользователя

Чтобы войти доменным пользователем необходимо в Системных настройках перейти во вкладку Экран блокировки и в окне При смене пользователя, в строке Показывать в окне входа, выбрать Поля имени и пароля.


Далее после перезагрузки, вы сможете ввести логин и пароль доменного пользователя для входа.


Когда вы вошли под доменным пользователем, после блокировки экрана или ухода компьютера в сон, потребуется PIN-код от рутокена для возобновления сессии.