Versions Compared

Old Version 1

changes.mady.by.user Никита Леонов

Saved on

compared with

New Version Current

changes.mady.by.user Алексей Тиунцев

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM 2 в раздел "Объекты" → "Службы каталога". В разделе "Службы каталога" будет отображено окно, которое показывает:

  • Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск.
  • Список подключенных доменов, с информацией:
    • название домена
    • количество важных групп;
    • количество важных атрибутов;
    • рабочая группа Netbios
    • для каждого из серверов кластера WNAM 2:
      • имя, под которым этот сервер введен в домен
      • статусы коннекторов LDAPS, NTLM
      • имя контроллера домена

Image Added

При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:

Image Added

  • Название домена (FQDN) -  полное имя домена (например lab.wnam.ru)
  • Логин - имя пользователя домена с правами подключения сервера в домен, без доменной части
  • Пароль - пароль для пользователя домена с правами подключения сервера в домен
  • Рабочая группа (pre-Win2000) - имя рабочей группы. По умолчанию берется домен самого нижнего уровня (для домена lab.wnam.ru будет рабочая группа LAB). Указывается, если у вас используется имя отличное от умолчания.
  • Адрес LDAP сервера - полное имя LDAP сервер (например для домена lab.wnam.ru будет сервер dc1.lab.wnam.ru). Имя LDAP сервера можно указать, если вы хотите, чтобы запросы к домену шли через конкретный контроллер домена. Также в конце имени можно указать порт (например dc1.lab.wnam.ru:389) , если требуется чтобы подключение проводилось не на порт  по умолчанию 636 (ldaps), а на порт 389 посредством STARTTLS.
  • Имя сайта AD - Указывается для ограничения выбора контроллеров домена только из этого сайта (Active Directory Site, по умолчанию это Default-First-Site-Name).
  • Название OU - можно указать  подразделение (Organizational Unit)  в который будут помещены объекты сервера WNAM2, по умолчанию это SERVERS. OU указываются в формате OU_LEVEL1/OU_LEVEL2/OU_LEVEL3
  • Имя узла для NTLM - короткое имя компьютера для записи ntlm в домене (например wnam1). По умолчанию в качестве этого имени используется имя сервера. 
  • Имя узла для LDAPS - короткое имя компьютера для записи ldaps в домене (например wnam1-ldap). По умолчанию в качестве этого имени используется имя сервера + "-adc" (например wnam1-adc)
Warning
Необходимо указать, как минимум, имя домена и верные учетные данные администратора, который будет подключать сервер WNAM 2 к домену (предпочтительнее с ролью доменного администратора). Вместо этого, вы можете попросить администратора вашего домена ActiveDirectory делегировать вашей собственной доменной учетной записи право создавать записи о компьютерах в домене.


Warning

При использовании в качестве контроллера домена samba-dc в его настройках (smb.conf) нужно добавить опции:

ntlm auth = mschapv2-and-ntlmv2-only   (также можно использовать опции с более низкими требованиями к безопасности ntlm auth = ntlmv1-permitted )

ldap server require strong auth = allow_sasl_over_tls (также можно использовать опции с более низкими требованиями к безопасности ldap server require strong auth = no )

Warning

Если при подключении к домену в логе adctool появляется ошибка "Indicates a referenced user name and authentication information are valid, but some user account restriction has prevented successful authentication (such as time-of-day restrictions)" с большой вероятностью это связанно с тем, что учетная запись пользователя находиться в группе Защищенные пользователи (Protected users). 

Подключение от имени обычного пользователя можно организовать так:

  1. В Active Directory в нужном OU администратором домена создаются две записи типа "Компьютер", например WNAM и WNAM-ADC (укажите верное имя вашего сервера)
    Image Added
  2. Он выдает права вашей учетной записи, через кнопку "Изменить"
  3. Необходимо перейти в редактор атрибутов, ADSIedit.exe:
    Image Added
  4. Изменить LDAP-свойства объекта - только той учетной записи компьютера, которая имеет имя -ADC.
  5. Необходимо выбрать фильтр "Все атрибуты", убрав верхний чекбокс:
    Image Added
  6. Необходимо поменять значение у атрибута "msDS-SupportedEncryptionTypes" с "не задано" на 28 (или 24, чтобы не было RC4_):
    Image Added
  7. Необходимо сохранить изменения

Указанные учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM 2 будет введен в домен как обычная рабочая станция два раза:

  • под собственным именем сервера, например, WNAM, для целей NTLM-взаимодействия (используя samba/winbind);
  • под именем сервера с постфиксом "-ADC", например, WNAM-ADC, для целей LDAP-взаимодействия (используя python/ldap3);
  • (имена, под которыми сервер вносится в домен, возможно переопределить, как описано выше).
Warning
Существует жесткое ограничение на NETBIOS-имя: 15 символов. Таким образом, с учетом добавления суффикса -ADC и исходному имени, его длина не может превышать 11 символов. Не называйте ваш сервер длинным (более 11) символов именем, в противном случае ADCTool не сможет выполнить подключение к домену.

Снова обращаем ваше внимание, что сервер WNAM 2 будет введен в домен дважды, как две разные рабочие станции.  

Warning

Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM 2 не поддерживает подключение по LDAP без шифрования, т.к. оно обязательно для создания машинной учётной записи. Для поддержки шифрования в канале LDAP необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт либо к более детальной инструкции.

WNAM 2 поддерживает одновременное взаимодействие с несколькими несвязанными доменами (мульти-домен). Для этого вам необходимо установить на сервер WNAM 2 специальную библиотеку libwinbind-client.so (вручную, или скриптом upgrade-adctool.sh, либо она уже присутствует в эталонном образе виртуальной машины).

Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM 2 и не используются служебные пользовательские учетные записи.

Если вы отключите чекбокс "Использовать для PEAP/NTLM (samba)" при создании подключения, запустится только LDAP-коннектор. Этого достаточно, если вы делаете подключение для проверки доменных учетных данных при логине через TACACS+, в веб-интерфейс WNAM 2, для сопоставления с группами/атрибутами при EAP-TLS авторизации.

Вы также можете указать, при необходимости, адрес вашего ближайшего LDAP-сервера, имя сайта Active Directory, если ваш домен очень большой и распределенный. Это позволит избежать ненужного поиска всех контроллеров в домене.

Если NETBIOS-имя вашего домена отличается от первой части (до точки) полного названия домена, что может случаться, если ваш домен создавался очень давно, укажите его старое имя (рабочей группы).

После добавления службы каталогов AD, автоматически импортируется список групп и атрибутов. Загрузив список групп и атрибутов, следует отметить желаемые чекбоксами и сохранить:

Image Added

Если тестовая проверка прошла без ошибок, можно начать применять этот каталог (домен) в других настройках системы WNAM 2.