Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM в раздел "Конфигурация" → "Службы каталогов". В разделе "Службы каталогов" будет отображено окно, которое показывает:
- Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск.
- Список подключенных доменов, с информацией:
- название домена, имя контроллера домена;
- типы и статус интеграционных сервисов (LDAP, IPA/LDAP и NTLM-коннекторы);
- число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации.
При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:
Указанные учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM будет введен в домен как обычная рабочая станция два раза:
- под собственным именем сервера, например, WNAM-15, для целей NTLM-взаимодействия (используя samba/winbind);
- под именем сервера с постфиксом "-ADC", например, WNAM-15-ADC, для целей LDAP-взаимодействия (используя python/ldap3).
Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM не поддерживаеn подключение по LDAP без шифрования. Для поддержки шифрования в канале LDAP необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт либо к более детальной инструкции.
В настоящий момент поддерживается только одно (первое) NTLM-подключение и несколько одновременных LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах. Пакет не позволяет работать одновременно с несколькими доменами без дополнительных доработок. Решение данной проблемы планируется к исправлению в 2023 году.
Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM и не используются служебные пользовательские учетные записи.
Если подключение к домену прошло успешно, в таблице будет отображена новая строка с информацией о статусе доменного подключения. При нажатии на строку правой кнопкой мыши открывается окно с информацией о группах домена и различных действиях с ним:
Список групп домена можно загрузить по кнопке "Обновить список групп". Для больших доменов можно воспользоваться фильтром:
В полученном списке можно отметить интересующие группы чекбоксами и сохранить его. Отмеченные группы появляются в окнах выбора групп, например, в профилях аутентификации. Также можно загрузить список атрибутов LDAP-объекта типа "Пользователь", для этого следует воспользоваться вкладкой "Атрибуты" и кнопкой "Получить...":
Загрузив список атрибутов, следует отметить желаемые чекбоксами и сохранить:
Также можно проверить механизм авторизации учетной записи по одному или другому протоколу с использованием пары "логин-пароль":
Если тестовая проверка прошла без ошибок, можно начать применять этот каталог (домен) в других настройках интерфейса системы WNAM.