...
- Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск.
- Список подключенных доменов, с информацией:
- название домена, имя контроллера домена;
- для каждого из серверов кластера WNAM:
- типы и статус интеграционных сервисов (LDAP, IPA/LDAP и NTLM-коннекторы);
- имя хоста
- число доменных групп, найденных и отмеченных к дальнейшему использованию в профилях аутентификации.
- дата и время последнего успешного обновления данных
При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:
| Warning |
|---|
| Необходимо указать, как минимум, имя домена и верные учетные данные администратора, который будет подключать сервер WNAM к домену (предпочтительнее с ролью доменного администратора). Вместо этого, вы можете попросить администратора вашего домена ActiveDirectory делегировать вашей собственной доменной учетной записи право создавать записи о компьютерах в домене. |
...
| Warning |
|---|
Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM не поддерживает подключение по LDAP без шифрования, т.к. он обязательно для создания машинной учётной записи. Для поддержки шифрования в канале LDAP необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт либо к более детальной инструкции. WNAM поддерживает одновременное взаимодействие с несколькими несвязанными доменами (мульти-домен). Для этого вам необходимо установить специальную библиотеку libwinbind-client.so (вручную, или скриптом upgrade-adctool.sh). Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM и не используются служебные пользовательские учетные записи. Если вы отключите чекбокс "Использовать для PEAP/NTLM (samba)" при создании подключения, запустится только LDAP-коннектор. Этого достаточно, если вы делаете подключение для проверки доменных учетных данных при логине через TACACS+, в веб-интерфейс WNAM, для сопоставления с группами/атрибутами при EAP-TLS авторизации. Вы также можете указать, при необходимости, адрес вашего ближайшего LDAP-сервера, имя сайта Active Directory, если ваш домен очень большой и распределенный. Это позволит избежать ненужного поиска всех контроллеров в домене. Если NETBIOS-имя вашего домена отличается от первой части (до точки) полного названия домена, что может случаться, если ваш домен создавался очень давно, укажите его старое имя (рабочей группы). |
Если подключение к домену прошло успешно, в таблице будет отображена новая строка с информацией о статусе доменного подключения. При нажатии на строку правой кнопкой мыши открывается окно с информацией о группах домена и различных действиях с ним:
...
Загрузив список атрибутов, следует отметить желаемые чекбоксами и сохранить:
Также можно проверить механизм работоспособность механизмов авторизации учетной записи по одному или другому протоколу с использованием пары "логин-пароль":
Если тестовая проверка прошла без ошибок, можно начать применять этот каталог (домен) в других настройках интерфейса системы WNAM.