Versions Compared

Old Version 4

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 5

changes.mady.by.user Anton Vinokurov

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Внимание: вы можете настроить взаимодействие сервиса авторизации WNAM с доменом как на том же сервере, где работает ПО WNAM,  как и на любом другом соседнем Linux-сервере (отправьте запрос в техподдержку). 

Схема взаимодействия компонентов представлена на рисунке:


Image Added


Необходимо установить следующий набор пакетов:

...

cat > /etc/sudoers.d/wnam << SUDO
wnam ALL = NOPASSWD: /usr/bin/net
wnam ALL = NOPASSWD: /usr/bin/systemctl
SUDO

chmod +x /home/wnam/adctool/*.py

chmod a+s /usr/bin/wbinfo 

chmod a+s /usr/bin/ntlm_auth

chown wnam /etc/samba/smb.conf

...

FLASK_APP=ad_tools.py
FLASK_RUN_HOST=0.0.0.0 # можно убрать по завершению тестов
FLASK_RUN_PORT=9080
FLASK_DEBUG=True # можно убрать по завершению тестов 

Посмотрите, и возможно отредактируйте конфигурационный файл /home/wnam/adctool/config.json:

...

Посмотрите в лог-файле /home/wnam/adctool/logs/console.log результат запуска сервиса, нет ли явных ошибок.

Перейдите в административный интерфейс WNAM, в раздел "Конфигурация - Корпоративная авторизация - Службы Active Directory - NEW". Вы увидите окно, которое показывает:

  • Статус взаимодействия с интеграционной службой adctool, с возможностью отправки команду команды на её перезапуск
  • Список подключенных доменов, с информацией:
    • Название домена, имя контроллера домена
    • Типы и статус интеграционных сервисов (LDAP и NTLM-коннекторы)
    • Число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации

...

Внимание! Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Для этого обратитесь к документации вендора майкрософт.

Внимание! В настоящий момент поддерживается только одно (первое) NTLM подключение, и несколько одновременных LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах. Он не позволяет работать одновременно с несколькими доменами без дополнительных ухищрений. Данная ситуация планируется к исправлению в 2023 году.

...

Если подключение к домену прошло успешно, вы увидите новую строку в таблице, с информацией о статусе доменного подключения.

Клик на строку таблицы открывает окно с информацией о группах домена, и различных действиях с ним:

...

В полученном списке вы можете отметить интересующие вас группы чекбоксами, и сохранить списокего. Отмеченные группы появляются в окнах выбора групп в, например, профилях аутентификации.

Вы также можете проверить механизм авторизации учетной записи по одному или другому протоколу, с использованием пары "логин-пароль":

...

Если тестовая проверка работает, вы можете начать применять настроенную эту систему доменной интеграции в других настройках интерфейса WNAM.