Versions Compared

Old Version 3

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version Current

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Перейдите Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM , в раздел "Конфигурация - " → "Службы каталогов". Вы увидите окноВ разделе "Службы каталогов" будет отображено окно, которое показывает:

  • Статус взаимодействия с интеграционной службой adctool , с возможностью отправки команды на её перезапуск.
  • Список подключенных доменов, с информацией:
    • Название домена, имя контроллера домена
    • название домена
    • для каждого из серверов кластера WNAM:
      • типы
      Типы
      • и статус интеграционных сервисов (LDAP, IPA/LDAP и NTLM-коннекторы);
      Число
      • имя хоста
      • число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации
      • .
      • дата и время последнего успешного обновления данных

Image AddedImage Removed

При нажатии на кнопку "Подключить новый домен AD" откроется будет открыто окно с вводом параметров:

Image Removed

...

Image Added

Warning
Необходимо указать, как минимум, имя домена и верные учетные данные администратора, который будет подключать сервер WNAM к домену (

...

предпочтительнее с ролью доменного администратора). Вместо этого, вы можете попросить администратора вашего домена ActiveDirectory делегировать вашей собственной доменной учетной записи право создавать записи о компьютерах в домене.

Подключение от имени обычного пользователя можно организовать так:

  1. В Active Directory в нужном OU администратором домена создаются две записи типа "Компьютер", например WNAM и WNAM-ADC (укажите верное имя вашего сервера)
    Image Added
  2. Он выдает права вашей учетной записи, через кнопку "Изменить"
  3. Необходимо перейти в редактор атрибутов, ADSIedit.exe:
    Image Added
  4. Изменить LDAP-свойства объекта - только той учетной записи компьютера, которая имеет имя -ADC.
  5. Необходимо выбрать фильтр "Все атрибуты", убрав верхний чекбокс:
    Image Added
  6. Необходимо поменять значение у атрибута "msDS-SupportedEncryptionTypes" с "не задано" на 28 (или 24, чтобы не было RC4_):
    Image Added
  7. Необходимо сохранить изменения

Указанные Эти учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM будет введен в домен , как обычная работая рабочая станция , два раза:

  • Под под собственным именем сервера, например, WNAM-15, для целей NTLM-взаимодействия (используя samba/winbind);
  • Под под именем сервера с постфиксом "-ADC", например, WNAM-15-ADC, для целей LDAP-взаимодействия (используя python/ldap3)

...

  • .
Warning

Существует жесткое ограничение на NETBIOS-имя - 15 символов. Таким образом, с учетом добавления суффикса -ADC и исходному имени, его длина не может превышать 11 символов. Не называйте ваш сервер длинным (более 11) символов именем, в противном случае ADCTool не сможет выполнить подключение к домену.

Обращаем внимание, что сервер WNAM будет введен в домен дважды, как две разные рабочие станции.  

Warning

Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM не поддерживает подключение по LDAP без шифрования, т.к. оно обязательно для создания машинной учётной записи. Для поддержки шифрования в канале LDAP

...

необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт

...

Внимание! В настоящий момент поддерживается только одно (первое) NTLM подключение, и несколько одновременных LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах. Он не позволяет работать одновременно с несколькими доменами без дополнительных ухищрений. Данная ситуация планируется к исправлению в 2023 году.

...

либо к более детальной инструкции.

WNAM поддерживает одновременное взаимодействие с несколькими несвязанными доменами (мульти-домен). Для этого вам необходимо установить на сервер WNAM специальную библиотеку libwinbind-client.so (вручную, или скриптом upgrade-adctool.sh, либо она уже присутствует в эталонном образе виртуальной машины).

Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM

...

и не используются

...

служебные пользовательские учетные записи.

Если вы отключите чекбокс "Использовать для PEAP/NTLM (samba)" при создании подключения, запустится только LDAP-коннектор. Этого достаточно, если вы делаете подключение для проверки доменных учетных данных при логине через TACACS+, в веб-интерфейс WNAM, для сопоставления с группами/атрибутами при EAP-TLS авторизации.

Вы также можете указать, при необходимости, адрес вашего ближайшего LDAP-сервера, имя сайта Active Directory, если ваш домен очень большой и распределенный. Это позволит избежать ненужного поиска всех контроллеров в домене.

Если NETBIOS-имя вашего домена отличается от первой части (до точки) полного названия домена, что может случаться, если ваш домен создавался очень давно, укажите его старое имя (рабочей группы).


Если подключение к домену прошло успешно, вы увидите новую строку в таблице , будет отображена новая строка с информацией о статусе доменного подключения. Клик При нажатии на строку открывает правой кнопкой мыши открывается окно с информацией о группах домена , и различных действиях с ним:

Image Removed

Image Added

Список Вы можете загрузить список групп домена можно загрузить по кнопке "Обновить список групп", причем для . Для больших доменов можно воспользоваться фильтром:

Image RemovedImage Added

В полученном списке вы можете можно отметить интересующие вас группы чекбоксами , и сохранить его. Отмеченные группы появляются в окнах выбора групп в, например, в профилях аутентификации. Также вы можете можно загрузить список атрибутов LDAP-объекта типа "Пользователь", для чего воспользуйтесь этого следует воспользоваться вкладкой "Атрибуты" и кнопкой "Получить...":

Image RemovedImage Added

Загрузив список атрибутов, отметьте следует отметить желаемые чекбоксами , и сохранитесохранить:

Image Removed

Image Added

Также можно проверить работоспособность механизмов Вы также можете проверить механизм авторизации учетной записи по одному или другому протоколу , с использованием пары "логин-пароль":

Image RemovedImage Added

Если тестовая проверка работает, вы можете прошла без ошибок, можно начать применять этот каталог (домен) в других настройках интерфейса системы WNAM.