Versions Compared

Old Version 3

changes.mady.by.user Никита Леонов

Saved on

compared with

New Version Current

changes.mady.by.user Алексей Тиунцев

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск (перезапуск коннектора).
  • Список подключенных доменов, с информацией:
    • название домена
    • для каждого из серверов кластера WNAM 2:количество важных групп;
    • количество важных атрибутов;
    • рабочая группа .Netbios
    • для каждого из серверов кластера WNAM 2:
      • имя, под которым этот сервер введен в домен
      • статусы коннекторов LDAPS, NTLM
      • имя контроллера домена

Image AddedImage Removed

При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:

Image Added

  • Название домена (FQDN) -  полное имя домена (например lab.wnam.ru)
  • Логин - имя пользователя домена с правами подключения сервера в домен, без доменной части
  • Пароль - пароль для пользователя домена с правами подключения сервера в домен
  • Рабочая группа (pre-Win2000) - имя рабочей группы. По умолчанию берется домен самого нижнего уровня (для домена lab.wnam.ru будет рабочая группа LAB). Указывается, если у вас используется имя отличное от умолчания.
  • Адрес LDAP сервера - полное имя LDAP сервер (например для домена lab.wnam.ru будет сервер dc1.lab.wnam.ru). Имя LDAP сервера можно указать, если вы хотите, чтобы запросы к домену шли через конкретный контроллер домена. Также в конце имени можно указать порт (например dc1.lab.wnam.ru:

...

  • 389) , если требуется чтобы подключение проводилось не на порт  по умолчанию 636 (ldaps), а на порт 389 посредством STARTTLS.
  • Имя сайта AD - Указывается для ограничения выбора контроллеров домена только из этого сайта (Active Directory Site, по умолчанию это Default-First-Site-Name).
  • Название OU - можно указать  подразделение (Organizational Unit)  в который будут помещены объекты сервера WNAM2, по умолчанию это SERVERS. OU указываются в формате OU_LEVEL1/OU_LEVEL2/OU_LEVEL3
  • Имя узла для NTLM - короткое имя компьютера для записи ntlm в домене (например wnam1). По умолчанию в качестве этого имени используется имя сервера. 
  • Имя узла для LDAPS - короткое имя компьютера для записи ldaps в домене (например wnam1-ldap). По умолчанию в качестве этого имени используется имя сервера + "-adc" (например wnam1-adc)

...

Warning
Необходимо указать, как минимум, имя домена и верные учетные данные администратора, который будет подключать сервер WNAM 2 к домену (предпочтительнее с ролью доменного администратора). Вместо этого, вы можете попросить администратора вашего домена ActiveDirectory делегировать вашей собственной доменной учетной записи право создавать записи о компьютерах в домене.

...

Warning

При использовании в качестве контроллера домена samba-dc в его настройках (smb.conf) нужно добавить опции:

ntlm auth = mschapv2-and-ntlmv2-only   (также можно использовать опции с более низкими требованиями к безопасности ntlm auth = ntlmv1-permitted )

ldap server require strong auth = allow_sasl_over_tls (также можно использовать опции с более низкими требованиями к безопасности ldap server require strong auth = no )

Warning

Если при подключении к домену в логе adctool появляется ошибка "Indicates a referenced user name and authentication information are valid, but some user account restriction has prevented successful authentication (such as time-of-day restrictions)" с большой вероятностью это связанно с тем, что учетная запись пользователя находиться в группе Защищенные пользователи (Protected users). 

Подключение от имени обычного пользователя можно организовать так:

...

  • под собственным именем сервера, например, WNAM, для целей NTLM-взаимодействия (используя samba/winbind);
  • под именем сервера с постфиксом "-ADC", например, WNAM-ADC, для целей LDAP-взаимодействия (используя python/ldap3);
  • (имена, под которыми сервер вносится в домен, возможно переопределить, как описано выше).
Warning
Существует жесткое ограничение на NETBIOS-имя - : 15 символов. Таким образом, с учетом добавления суффикса -ADC и исходному имени, его длина не может превышать 11 символов. Не называйте ваш сервер длинным (более 11) символов именем, в противном случае ADCTool не сможет выполнить подключение к домену.

Обращаем Снова обращаем ваше внимание, что сервер WNAM 2 будет введен в домен дважды, как две разные рабочие станции.  

...