...
Перейдите в административный интерфейс WNAM, в раздел "Конфигурация - Корпоративная авторизация - Службы Active Directory - NEWкаталога". Вы увидите окно, которое показывает:
- Статус взаимодействия с интеграционной службой adctool, с возможностью отправки команды на её перезапуск
- Список подключенных доменов, с информацией:
- Название домена, имя контроллера домена
- Типы и статус интеграционных сервисов (LDAP, IPA/LDAP и NTLM-коннекторы)
- Число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации
При нажатии на кнопку "Подключить новый домен" откроется окно с вводом параметров:
Внимание! Укажите верные учетные данные администратора, который будет подключать сервер WNAM к домену (желательно с ролью доменного администратора).
Эти учетные данные используются один раз, и не будут сохранены.
В результате подключения сервер WNAM будет введен в домен, как обычная работая станция, два раза:
- Под именем сервера, например WNAM-15, для целей NTLM-взаимодействия (используя samba/winbind)
- Под именем сервера с постфиксом "-ADC", например WNAM-15-ADC, для целей LDAP-взаимодействия (используя python/ldap3)
Внимание! Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Для этого обратитесь к документации вендора майкрософт.
Внимание! В настоящий момент поддерживается только одно (первое) NTLM подключение, и несколько одновременных LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах. Он не позволяет работать одновременно с несколькими доменами без дополнительных ухищрений. Данная ситуация планируется к исправлению в 2023 году.
Внимание! Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего WNAM сервера, и не используются никакие служебные пользовательские учетные записи.
Если подключение к домену прошло успешно, вы увидите новую строку в таблице, с информацией о статусе доменного подключения.
Клик на строку открывает окно с информацией о группах домена, и различных действиях с ним:
Вы можете загрузить список групп домена по кнопке "Обновить список групп", причем для больших доменов можно воспользоваться фильтром:
В полученном списке вы можете отметить интересующие вас группы чекбоксами, и сохранить его. Отмеченные группы появляются в окнах выбора групп в, например, профилях аутентификации.
Также вы можете загрузить список атрибутов LDAP-объекта типа "Пользователь", для чего воспользуйтесь вкладкой "Атрибуты" и кнопкой "Получить...":
Загрузив список атрибутов, отметьте желаемые чекбоксами, и сохраните:
Вы также можете проверить механизм авторизации учетной записи по одному или другому протоколу, с использованием пары "логин-пароль":
Продолжите настройку, подключив вашу систему к службам каталога:
Active Directory. Допустимо создать несколько коннекторов к разным доменам Active Directory, но для EAP_PEAP авторизации (через механизм NTLM) будет работать только один.
FreeIPA. Допустимо создать несколько коннекторов к разным доменам FreeIPA, и для EAP_PEAP авторизации могут работать все, где вы включите принудительное хранение хэша пароля в каталогеЕсли тестовая проверка работает, вы можете начать применять эту систему доменной интеграции в других настройках интерфейса WNAM.