Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM 2 в раздел "Объекты" → "Службы каталога". В разделе "Службы каталога" будет отображено окно, которое показывает:
- Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск.
- Список подключенных доменов, с информацией:
- название домена
- количество важных групп;
- количество важных атрибутов;
- рабочая группа Netbios
- для каждого из серверов кластера WNAM 2:
- имя, под которым этот сервер введен в домен
- статусы коннекторов LDAPS, NTLM
- имя контроллера домена
При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:
- Название домена (FQDN) - полное имя домена (например lab.wnam.ru)
- Логин - имя пользователя домена с правами подключения сервера в домен, без доменной части
- Пароль - пароль для пользователя домена с правами подключения сервера в домен
- Рабочая группа (pre-Win2000) - имя рабочей группы. По умолчанию берется домен самого нижнего уровня (для домена lab.wnam.ru будет рабочая группа LAB). Указывается, если у вас используется имя отличное от умолчания.
- Адрес LDAP сервера - полное имя LDAP сервер (например для домена lab.wnam.ru будет сервер dc1.lab.wnam.ru). Имя LDAP сервера можно указать, если вы хотите, чтобы запросы к домену шли через конкретный контроллер домена. Также в конце имени можно указать порт (например dc1.lab.wnam.ru:389) , если требуется чтобы подключение проводилось не на порт по умолчанию 636 (ldaps), а на порт 389 посредством STARTTLS.
- Имя сайта AD - Указывается для ограничения выбора контроллеров домена только из этого сайта (Active Directory Site, по умолчанию это Default-First-Site-Name).
- Название OU - можно указать подразделение (Organizational Unit) в который будут помещены объекты сервера WNAM2, по умолчанию это SERVERS.
- Имя узла для NTLM - короткое имя компьютера для записи ntlm в домене (например wnam1). По умолчанию в качестве этого имени используется имя сервера.
- Имя узла для LDAPS - короткое имя компьютера для записи ldaps в домене (например wnam1-ldap). По умолчанию в качестве этого имени используется имя сервера + "-adc" (например wnam1-adc)
При использовании в качестве контроллера домена samba-dc в его настройках (smb.conf) нужно добавить опции:
ntlm auth = mschapv2-and-ntlmv2-only (также можно использовать опции с более низкими требованиями к безопасности ntlm auth = ntlmv1-permitted )
ldap server require strong auth = allow_sasl_over_tls (также можно использовать опции с более низкими требованиями к безопасности ldap server require strong auth = no )
Подключение от имени обычного пользователя можно организовать так:
- В Active Directory в нужном OU администратором домена создаются две записи типа "Компьютер", например WNAM и WNAM-ADC (укажите верное имя вашего сервера)
- Он выдает права вашей учетной записи, через кнопку "Изменить"
- Необходимо перейти в редактор атрибутов, ADSIedit.exe:
- Изменить LDAP-свойства объекта - только той учетной записи компьютера, которая имеет имя -ADC.
- Необходимо выбрать фильтр "Все атрибуты", убрав верхний чекбокс:
- Необходимо поменять значение у атрибута "msDS-SupportedEncryptionTypes" с "не задано" на 28 (или 24, чтобы не было RC4_):
- Необходимо сохранить изменения
Указанные учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM 2 будет введен в домен как обычная рабочая станция два раза:
- под собственным именем сервера, например, WNAM, для целей NTLM-взаимодействия (используя samba/winbind);
- под именем сервера с постфиксом "-ADC", например, WNAM-ADC, для целей LDAP-взаимодействия (используя python/ldap3);
- (имена, под которыми сервер вносится в домен, возможно переопределить, как описано выше).
Снова обращаем ваше внимание, что сервер WNAM 2 будет введен в домен дважды, как две разные рабочие станции.
Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM 2 не поддерживает подключение по LDAP без шифрования, т.к. оно обязательно для создания машинной учётной записи. Для поддержки шифрования в канале LDAP необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт либо к более детальной инструкции.
WNAM 2 поддерживает одновременное взаимодействие с несколькими несвязанными доменами (мульти-домен). Для этого вам необходимо установить на сервер WNAM 2 специальную библиотеку libwinbind-client.so (вручную, или скриптом upgrade-adctool.sh, либо она уже присутствует в эталонном образе виртуальной машины).
Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM 2 и не используются служебные пользовательские учетные записи.
Если вы отключите чекбокс "Использовать для PEAP/NTLM (samba)" при создании подключения, запустится только LDAP-коннектор. Этого достаточно, если вы делаете подключение для проверки доменных учетных данных при логине через TACACS+, в веб-интерфейс WNAM 2, для сопоставления с группами/атрибутами при EAP-TLS авторизации.
Вы также можете указать, при необходимости, адрес вашего ближайшего LDAP-сервера, имя сайта Active Directory, если ваш домен очень большой и распределенный. Это позволит избежать ненужного поиска всех контроллеров в домене.
Если NETBIOS-имя вашего домена отличается от первой части (до точки) полного названия домена, что может случаться, если ваш домен создавался очень давно, укажите его старое имя (рабочей группы).
После добавления службы каталогов AD, автоматически импортируется список групп и атрибутов. Загрузив список групп и атрибутов, следует отметить желаемые чекбоксами и сохранить:
Если тестовая проверка прошла без ошибок, можно начать применять этот каталог (домен) в других настройках системы WNAM 2.