...
Перейдите в административный интерфейс WNAM, в раздел "Конфигурация - Корпоративная авторизация - Службы Active Directory". Вы увидите окно, которое показывает:
- Статус взаимодействия с интеграционной службой adctool, с возможностью отправки команду на её перезапуск
- Список подключенных доменов, с информацией:
...
- Название домена, имя контроллера домена
- Типы и статус интеграционных сервисов (LDAP и NTLM-коннекторы)
- Число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации
При нажатии на кнопку "Подключить новый домен" откроется окно с вводом параметров:
Внимание! Укажите верные учетные данные администратора, который будет подключать сервер WNAM к домену (желательно с ролью доменного администратора).
Эти учетные данные используются один раз, и не будут сохранены.
В результате подключения сервер WNAM будет введен в домен, как обычная работая станция, два раза:
- Под именем сервера, например WNAM-15, для целей NTLM-взаимодействия (используя samba/winbind)
- Под именем сервера с постфиксом "-ADC", например WNAM-15-ADC, для целей LDAP-взаимодействия (используя python/ldap3)
Внимание! Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Для этого обратитесь к документации вендора.
Внимание! В настоящий момент поддерживается только одно (первое) NTLM подключение, и несколько LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах. Он не позволяет работать одновременно с несколькими доменами без дополнительных ухищрений. Данная ситуация планируется к исправлению в 2023 году.
Внимание! Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых KERBEROS-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего WNAM сервера, и не используются никакие служебные пользовательские учетные записи.
Если подключение к домену прошло успешно, вы увидите новую строку в таблице.
Клик на строку таблицы открывает окно с информацией о группах домена, и различных действиях с ним:
Вы можете загрузить список групп домена по кнопке "Обновить список групп", причем для больших доменов можно воспользоваться фильтром:
В полученном списке вы можете отметить интересующие вас группы чекбоксами, и сохранить список.
Вы также можете проверить механизм авторизации учетной записи по одному или другому протоколу, с использованием пары "логин-пароль":
Если тестовая проверка работает, вы можете применять настроенную систему доменной интеграции в других настройках интерфейса WNAM
Затем нажмите на кнопку "Обновить список групп". При этом с заданными учетными данными контроллер будет запрошен на предмет всех групп домена. Внимание! Эта операция может занять минуту.
Вы получите полный список. Чекбоксами отметьте интересующие вас группы: только их можно будет указывать в профилях аутентификации.
Снова нажмите на "Сохранить".
На этом настройка закончена. Ваша система WNAM сможет общаться к контроллерам доменов, и использовать их для проведения EAP-PEAP/MSCHAPv2 авторизации абонентов вашей сети.