Смоленск 1.6 возможно ли проверить локального пользователя через Kerberos если контроллер ALD не доступен?

Sivan

New member
Сообщения
5
#1
Добрый день.

Поручили разобраться в довольно сложной ситуации, но я слабо знаком с работой защитных механизмов Астры.

Если сильно упростить, то схема происходящего следующая:
  1. имеется несколько автономных стендов, каждый из них:
  2. работает под управлением ПК с Астрой смоленск 1.6;
  3. ПК подключены к общей сети объекта;
  4. в данной сети настроен ALD и имеется центральный контроллер;
  5. на ПК крутится ПО (стартует от рута без входа в систему), которое использует нижележащий Kerberos для проверки пользователей при подключении из сети;

    с данного момента начинаются сложности:
  6. в силу некоторых причин сеть с ALD не всегда будет доступна в процессе работы;
  7. к стенду может быть подключён ноутбук для настройки "на месте", и при отключённой сети тоже;
  8. он работает через то же ПО, которое дёргает Kerberos;
  9. требуется сохранить возможность проверки пользователя при таком сценарии;
Насколько я понимаю принципы работы ALD: если ввести ноут и стенды в ALD сети, то при потере связи с контроллером стенд не сможет провести проверку пользователя домена т.к. не к кому будет обращаться за данными.
Т.е. при прямом подключении "на месте" гарантированно проверить подлинность пользователя таким образом всё равно нельзя (ну и бонусом сложности со входом доменного пользователя на самом ноуте).

Далее второй вариант: включить стенды в домен, но на ноуте работать из-под локального пользователя, внеся его данные в керберос стендов для возможности проверки.

Можно ли как-то настроить всю систему таким образом, чтобы керберос мог проверить локального пользователя с ноутбука и доменного с удалённого компьютера из сети?

В качестве других вариантов рассматривались:

Если настраивать ноутбук как резервный сервер ALD, то, согласно руководству администратора, нужно будет проводить кучу манипуляций с перенастройкой клиентов при каждом подключении, чего хотелось бы избежать.

Возможность настроить клиентов с Астрой таким образом, чтобы они могли работать с двумя доменами по мере доступности их серверов. Т.е. если он получает запрос и сеть доступна, то проверять через центральный, а если не доступна - то через ноутбук. Но об этом нет никакой информации, можно ли вообще ввести один ПК в два домена сразу?

Вроде как есть FreeIPA, но там возникают аналогичные вопросы с онлайном сервера.
 
Последнее редактирование:

Sivan

New member
Сообщения
5
#2
похоже я нашёл решение: керберос не обязательно должен быть привязан к домену, он вполне нормально работает как отдельная служба;

таким образом есть возможность сделать сервер ключей (KDC) кереброса на ноуте , посты сделать клиентами, которым прописать два реалма: ноутбучный и из основной сети (который часть ALD);

при такой схеме взаимодействий ноут сам себе подтверждает подключение и не имеет никакой зависимости от контроллера домена, а клиенты из сети смогут подключиться только при доступности ALD и тамошнего KDC соответственно, не пересекаясь с реалмом ноута
 
Последнее редактирование: