• Для активации подчинённого Центра сертификации в состоянии «Запрос» импортируйте выделенную цепочку сертификатов корневого ЦС MS CS в соответствии с пунктом 4.3.1.3 «Центр сертификатов Aladdin Enterprise Certificate Authority» Руководства администратора RU.АЛДЕ.03.01.020-01 32 01-2.
  • Подчиненный ЦС из состояния «Запрос» переходит в состоянии «Активирован», считается доверенным центром сертификации и готов для дальнейшей работы. 

А.1 Настройка контроллера домена Samba DC для подключения в качестве источника ресурсной системы AeCA

Настройка конфигурационных файлов контроллера домена осуществляется от имени пользователя с правами root.Таблица 2 – Процедура настройки конфигурационного файла Samba для подключения в качестве источника ресурсной системы АеСА

Описание шага

Команда

Примечание
(при необходимости) 

1

Приведите файл /etc/krb5.conf к следующему виду 

Отредактируйте листинг файла /etc/krb5.conf, заменяя выделенные параметры вашими соответствующими значениями: 

[libdefaults]
default_realm = SAMBA.DOMAIN
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
pkinit_anchors =
FILE:/var/lib/samba/private/tls/dc.chain.pem
[appdefaults]
pkinit_anchors =
FILE:/var/lib/samba/private/tls/dc.chain.pem
[realms]
dc.SAMBA.DOMAIN = {
pkinit_require_eku = true
}
[kdc]
enable­pkinit = yes
pkinit_identity =
FILE:/var/lib/samba/private/tls/dc.pem,/var/lib/samba/
private/tls/secure/dc.key
pkinit_anchors =
FILE:/var/lib/samba/private/tls/dc.chain.pem
pkinit_principal_in_certificate = yes
pkinit_win2k = no
pkinit_win2k_require_binding = yes

где:
SAMBA.DOMAIN – полное имя домена;
dc.SAMBA.DOMAIN – полное имя контроллера домена;
dc.chain.pem – цепочка сертификатов ЦС, который выпустил сертификат контроллера домена; 

dc.key – ключ контроллера домена в формате base64;
dc.pem – сертификат контроллера домена в формате base64 

2

Убедитесь, что все прочие строчки в файле /etc/krb5.conf закомментированы! 

Таблица 3 – Процедура настройки для подключения ресурсной системы без использования протокола TLS

Описание шага 

Команда

Примечание
(при необходимости) 

1

При необходимости отключите передачу по протоколу TLS

Настройки Samba находятся в файле /etc/samba/smb.conf, выполнив настройку в файле:

sudo nano /etc/samba/smb.conf

Добавьте в раздел [global]: 

ldap server require
strong auth = no

Таблица 4 – Процедура настройки для подключения ресурсной системы по протоколу TLS

Описание шага 

Команда

Примечание
(при необходимости)

1

Предварительно проверьте значение ldap server require strong auth

Настройки Samba находятся в файле /etc/samba/smb.conf, выполнив настройку в файле: 

sudo nano /etc/samba/smb.conf

Добавьте в раздел [global]: 

ldap server require
strong auth = yes

2

Скопировать текущий сертификат контроллера домена 

На хосте, где развёрнут контроллер домена, к которому будет происходить подключение по протоколу TLS,

скопируйте сертификат контроллера домена /var/lib/samba/private/tls/cert.pem

Указано стандартное расположение
сертификата контроллера домена 

3

Перенесите скопированный сертификат на сервер АЕСА СА, с которого необходимо произвести подключение 

Поместите скопированный сертификат контроллера домена, к которому выполняется tls подключение,  в домашний каталог пользователя, который будет выполнять команды в терминале 

4

Конвертируйте сертификат контроллера домена для tls соединения 

Выполните команду, находясь в папке с сертификатом контроллера домена: 

openssl x509 ­outform der ­in cert.pem ­out smbdc.der

5

Получите путь к каталогу с установленным java одним из способов для переменной среды JAVA_HOME 

способ 1: 

dirname $(dirname $(readlink ­f $(which javac)))

способ 2: 

update­alternatives ­­config javac

6

Импортируйте полученный сертификат контроллера домена в хранилище keystore java 

sudo keytool ­import ­alias {имя контроллера домена} ­
keystore ‘поставьте полученное значение
JAVA_HOME’/lib/security/cacerts ­storepass changeit ­
file ~/smbdc.der

где:

JAVA_HOME - переменная среды, указывающая на каталог с
установленным; JAVA (например,
JAVA_HOME="/usr/lib/jvm/java­11­openjdk­amd64/");
alias ald­cert - псевдоним сертификата в хранилище ключей
(присвоить имя в зависимости от ресурсной системы);
keystore cacerts - имя файла хранилища для хранения
сгенерированной пары ключей;
file ~/ca.der – путь к импортируемому сертификату 


Перезапустите службу АеСА СА 

sudo systemctl restart aecaca

А.2 Поиск глобального идентификатора контроллера домена Samba DC

В случае, если выпуск сертификата контроллера домена Samba DC, происходит для нового субъекта и ресурсная система, содержащая субъект, для которого должен быть выпущен сертификат, не зарегистрирована, для нахождения требуемого значения поля «objectGUID» шаблона выполните процедуру в соответствии с Таблица 5 от имени пользователя с правами root. 

Таблица 5 – Поиск глобального идентификатора контроллера домена

Описание шага

Команда

Примечание
(при необходимости) 

1

Выполните команду для определения значения
глобального идентификатора контроллера домена 

samba­tool computer show
<hostname> | grep objectGUID


где [hostname] – короткое имя контроллера домена.