Добрый день.
Поручили разобраться в довольно сложной ситуации, но я слабо знаком с работой защитных механизмов Астры.
Если сильно упростить, то схема происходящего следующая:
Т.е. при прямом подключении "на месте" гарантированно проверить подлинность пользователя таким образом всё равно нельзя (ну и бонусом сложности со входом доменного пользователя на самом ноуте).
Далее второй вариант: включить стенды в домен, но на ноуте работать из-под локального пользователя, внеся его данные в керберос стендов для возможности проверки.
Можно ли как-то настроить всю систему таким образом, чтобы керберос мог проверить локального пользователя с ноутбука и доменного с удалённого компьютера из сети?
В качестве других вариантов рассматривались:
Если настраивать ноутбук как резервный сервер ALD, то, согласно руководству администратора, нужно будет проводить кучу манипуляций с перенастройкой клиентов при каждом подключении, чего хотелось бы избежать.
Возможность настроить клиентов с Астрой таким образом, чтобы они могли работать с двумя доменами по мере доступности их серверов. Т.е. если он получает запрос и сеть доступна, то проверять через центральный, а если не доступна - то через ноутбук. Но об этом нет никакой информации, можно ли вообще ввести один ПК в два домена сразу?
Вроде как есть FreeIPA, но там возникают аналогичные вопросы с онлайном сервера.
Поручили разобраться в довольно сложной ситуации, но я слабо знаком с работой защитных механизмов Астры.
Если сильно упростить, то схема происходящего следующая:
- имеется несколько автономных стендов, каждый из них:
- работает под управлением ПК с Астрой смоленск 1.6;
- ПК подключены к общей сети объекта;
- в данной сети настроен ALD и имеется центральный контроллер;
- на ПК крутится ПО (стартует от рута без входа в систему), которое использует нижележащий Kerberos для проверки пользователей при подключении из сети;
с данного момента начинаются сложности: - в силу некоторых причин сеть с ALD не всегда будет доступна в процессе работы;
- к стенду может быть подключён ноутбук для настройки "на месте", и при отключённой сети тоже;
- он работает через то же ПО, которое дёргает Kerberos;
- требуется сохранить возможность проверки пользователя при таком сценарии;
Т.е. при прямом подключении "на месте" гарантированно проверить подлинность пользователя таким образом всё равно нельзя (ну и бонусом сложности со входом доменного пользователя на самом ноуте).
Далее второй вариант: включить стенды в домен, но на ноуте работать из-под локального пользователя, внеся его данные в керберос стендов для возможности проверки.
Можно ли как-то настроить всю систему таким образом, чтобы керберос мог проверить локального пользователя с ноутбука и доменного с удалённого компьютера из сети?
В качестве других вариантов рассматривались:
Если настраивать ноутбук как резервный сервер ALD, то, согласно руководству администратора, нужно будет проводить кучу манипуляций с перенастройкой клиентов при каждом подключении, чего хотелось бы избежать.
Возможность настроить клиентов с Астрой таким образом, чтобы они могли работать с двумя доменами по мере доступности их серверов. Т.е. если он получает запрос и сеть доступна, то проверять через центральный, а если не доступна - то через ноутбук. Но об этом нет никакой информации, можно ли вообще ввести один ПК в два домена сразу?
Вроде как есть FreeIPA, но там возникают аналогичные вопросы с онлайном сервера.
Последнее редактирование: