Versions Compared

Old Version 6

changes.mady.by.user Anton Vinokurov

Saved on

compared with

New Version 7

changes.mady.by.user Oksana Serus

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Перейдите Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM , в раздел "Конфигурация - " → "Службы каталогов". Вы увидите окноВ разделе "Службы каталогов" будет отображено окно, которое показывает:

  • Статус взаимодействия с интеграционной службой adctool , с возможностью отправки команды на её перезапуск.
  • Список подключенных доменов, с информацией:
    • Название название домена, имя контроллера домена;
    • Типы типы и статус интеграционных сервисов (LDAP, IPA/LDAP и NTLM-коннекторы);
    • Число число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации.

Image RemovedImage Added

При нажатии на кнопку "Подключить новый домен AD" откроется будет открыто окно с вводом параметров:

Внимание! Укажите

Warning
Необходимо указать верные учетные данные администратора, который будет подключать сервер WNAM к домену (

...

предпочтительнее с ролью доменного администратора).

Эти Указанные учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM будет введен в домен , как обычная рабочая станция , два раза:

  • Под под собственным именем сервера, например, WNAM-15, для целей NTLM-взаимодействия (используя samba/winbind);
  • Под под именем сервера с постфиксом "-ADC", например, WNAM-15-ADC, для целей LDAP-взаимодействия (используя python/ldap3).


Warning

...

Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP.

...

Система WNAM не

...

поддерживаеn подключение по LDAP без шифрования. Для

...

поддержки шифрования в канале LDAP

...

необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать

...

следует обратиться к документации вендора Майкрософт либо к более детальной инструкции.

...

В настоящий момент поддерживается только одно (первое) NTLM-подключение

...

и несколько одновременных LDAP. Это связано с особенностью сборки пакета winbind, имеющегося в Linux-дистрибутивах.

...

Пакет не позволяет работать одновременно с несколькими доменами без дополнительных

...

доработок. Решение данной проблемы планируется к исправлению в 2023 году.

...

Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM

...

и не используются

...

служебные пользовательские учетные записи.


Если подключение к домену прошло успешно, вы увидите новую строку в таблице , будет отображена новая строка с информацией о статусе доменного подключения. Клик При нажатии на строку открывает правой кнопкой мыши открывается окно с информацией о группах домена , и различных действиях с ним:

Вы можете загрузить список Список групп домена можно загрузить по кнопке "Обновить список групп", причем для . Для больших доменов можно воспользоваться фильтром:

В полученном списке вы можете можно отметить интересующие вас группы чекбоксами , и сохранить его. Отмеченные группы появляются в окнах выбора групп в, например, в профилях аутентификации. Также вы можете можно загрузить список атрибутов LDAP-объекта типа "Пользователь", для чего воспользуйтесь этого следует воспользоваться вкладкой "Атрибуты" и кнопкой "Получить...":

...

Загрузив список атрибутов, отметьте следует отметить желаемые чекбоксами , и сохранитесохранить:

Вы также можете Также можно проверить механизм авторизации учетной записи по одному или другому протоколу , с использованием пары "логин-пароль":

Если тестовая проверка работает, вы можете прошла без ошибок, можно начать применять этот каталог (домен) в других настройках интерфейса системы WNAM.