В случае, если вы не используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо:
192.168.1.4
В случае, если вы используете встроенный сервер DNS, такой как Unbound DNS, вам необходимо согласно документации настроить переадресацию либо всех запросов DNS, либо только прямой и обратной зоны созданного вами домена.
Перейдите в раздел Службы -> Сетевое время -> Общие.
В поле Серверы времени укажите имя контроллера домена FreeIPA dc.freeipa.local либо IP адрес контроллера домена FreeIPA 192.168.1.4.
dc.freeipa.local
Примечание
Время на контроллере домена и устройстве NPS AV должно быть синхронизировано.
Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:
Пройдите в раздел Система -> Доступ -> Средство проверки
Выберите в списке созданный нами сервер, введите имя и пароль учетной записи домена.
Результатом должно быть сообщение об успешной проверке:
| Пользователь: admin аутентификация прошла успешно | Этот пользователь состоит в этих группах: | Атрибуты, полученные от сервера: | dn => uid=admin,cn=users,cn=accounts,dc=freeipa,dc=local
Использование механизма прозрачного HTTP-проксирования не совместимо ни с одним методом аутентификации. Чтобы использовать аутентификацию Kerberos, данный механизм должен быть выключен.
Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-sso для его установки.
После установки плагина os-proxy-sso, в разделе Службы -> Веб-прокси появляется подраздел Технология единого входа (SSO).
7.1 Включите Single Sign On
В разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, установите флаг Включить Single Sign On.
В поле Реализация AD Kerberos выберите значение Windows 2008 with AES.
При нажатии на кнопку Применить будут произведены следующие действия:
7.2 Настройте аутентификацию по протоколу Kerberos
Все пункты, кроме Файл keytab должны быть отмечены зеленым.
Если это не так — перепроверьте все шаги.
kinit admin
/usr/sbin/ipa-getkeytab -p HTTP/npsav.freeipa.local -k /tmp/squid.keytab
scp /tmp/squid.keytab root@192.168.1.2:/usr/local/etc/squid/
chown root:squid /usr/local/etc/squid/squid.keytab
chmod 640 /usr/local/etc/squid/squid.keytab
Все пункты должны быть отмечены зеленым.
Результат должен быть такой:
Vno Type Principal Aliases 1 aes256-cts-hmac-sha1-96 HTTP/npsav.freeipa.local@FREEIPA.LOCAL 1 aes128-cts-hmac-sha1-96 HTTP/npsav.freeipa.local@FREEIPA.LOCAL
7.3 Проверьте правильность настроек.
Для этого введите Имя пользователя и Пароль пользователя домена в соответствующие поля и нажмите Проверить вход через Kerberos
В случае, если все настройки были сделаны верно, вы увидите положительный результат проверки, подобный, как на изображении выше.
7.4 Примените настройки.
Для этого либо в разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, либо в разделе Службы->Веб-прокси->Администрирование нажмите кнопку Применить
Работает на BetterDocs
Ваш адрес email не будет опубликован. Обязательные поля помечены *
Комментарий
Имя *
Email *
Сайт
Сохранить моё имя, email и адрес сайта в этом браузере для последующих моих комментариев.