Skip to main content
Version: ITDR 1.0-mvp

Подготовка к установке

Предварительно перед установкой компонентов Indeed ITDR выполните следующее:

  • Создайте сервисную учетную запись, которая будет использоваться Indeed ITDR для поиска субъектов доступа в каталоге Active Directory. Учетная запись должна иметь права на чтение во всех контейнерах каталога.

  • Настройте обратную зону DNS. Это необязательная настройка, однако она обязывает указать IP-адрес DNS-сервера на машине, где вы планируете развернуть Indeed ITDR.

  • Настройте групповые политики.

Настройка групповых политик

Для корректной работы ITDR необходимо включить следующие групповые политики:

  • Always wait for the network at computer startup and logon — определяет, ожидают ли клиентские машины завершения полной инициализации с контроллером домена при запуске и входе пользователя в систему.

  • KdcWaitTime — определяет, в течение какого периода клиентская машина ожидает ответ от контроллера домена.

Если эти политики включены, субъект доступа не может выполнить аутентификацию из кешированного запроса. Вместо этого клиентская машина будет ожидать восстановления связи с контроллером домена, что соответствует корректной работе push-уведомлений.

Чтобы включить политики:

  1. От имени доменного администратора запустите редактор групповых политик.
  2. Создайте новый Group Policy Object и привяжите его к домену.
Подсказка

При создании Group Policy Object убедитесь, что нет пересечения с одинаковыми политиками в других объектах. Если пересечение есть, задайте созданному объекту наивысший приоритет в разделе Linked Group Policy Objects.

  1. В режиме редактирования политиками настройте следующие политики:
Always wait for the network at computer startup and logon
  1. Перейдите к параметру Computer Configuration→Policies→Administrative Templates→System→Logon.
  2. Выберите политику Always wait for the network at computer startup and logon.
  3. Выберите опцию Enabled и примените изменения.
KdcWaitTime
  1. Перейдите к параметру Computer Configuration→Preferences→Windows Settings→Registry.
  2. Создайте раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters.
  3. В этом разделе создайте новый параметр типа REG_DWORD с именем KdcWaitTime, в значении параметра укажите 70.
Примечание

Значение KdcWaitTime должно быть больше таймаута, заданного в конфигурации authorizationchannels/configuration/main.cfg, иначе push-уведомления будут отрабатывать некорректно в некоторых случаях.

Настроенные групповые политики относятся к рабочим станциям и будут применены по расписанию, заданному в конфигурации домена. Для того чтобы протестировать работу Indeed ITDR, не дожидаясь применения политик по расписанию, выполните на используемой рабочей станции команду gpupdate /force.

Важно

Параметр KdcWaitTime определяет время, в течение которого клиент Kerberos ожидает ответа от контроллера домена. Для корректной работы Indeed ITDR необходимо, чтобы время ожидания запроса Kerberos превышало максимальное время ожидания ответа на push-уведомление. В противном случае возможны ситуации, когда вход будет произведен при проигнорированном push-уведомлении. Рекомендуемое значение — 70.