Для настройки подключения к Active Directory необходимо перейти в административный интерфейс системы WNAM 2 в раздел "Объекты" → "Службы каталога". В разделе "Службы каталога" будет отображено окно, которое показывает:

  • Статус взаимодействия с интеграционной службой adctool с возможностью отправки команды на её перезапуск (перезапуск коннектора).
  • Список подключенных доменов, с информацией:
    • название домена
    • для каждого из серверов кластера WNAM 2:
      • количество важных групп;
      • количество важных атрибутов;
      • рабочая группа.

При нажатии на кнопку "Подключить новый домен AD" будет открыто окно с вводом параметров:

Необходимо указать, как минимум, имя домена и верные учетные данные администратора, который будет подключать сервер WNAM 2 к домену (предпочтительнее с ролью доменного администратора). Вместо этого, вы можете попросить администратора вашего домена ActiveDirectory делегировать вашей собственной доменной учетной записи право создавать записи о компьютерах в домене.


При использовании в качестве контроллера домена samba-dc в его настройках (smb.conf) нужно добавить опции:

ntlm auth = mschapv2-and-ntlmv2-only   (также можно использовать опции с более низкими требованиями к безопасности ntlm auth = ntlmv1-permitted )

ldap server require strong auth = allow_sasl_over_tls (также можно использовать опции с более низкими требованиями к безопасности ldap server require strong auth = no )

Подключение от имени обычного пользователя можно организовать так:

  1. В Active Directory в нужном OU администратором домена создаются две записи типа "Компьютер", например WNAM и WNAM-ADC (укажите верное имя вашего сервера)
  2. Он выдает права вашей учетной записи, через кнопку "Изменить"
  3. Необходимо перейти в редактор атрибутов, ADSIedit.exe:
  4. Изменить LDAP-свойства объекта - только той учетной записи компьютера, которая имеет имя -ADC.
  5. Необходимо выбрать фильтр "Все атрибуты", убрав верхний чекбокс:
  6. Необходимо поменять значение у атрибута "msDS-SupportedEncryptionTypes" с "не задано" на 28 (или 24, чтобы не было RC4_):
  7. Необходимо сохранить изменения

Указанные учетные данные используются один раз, и не будут сохранены в дальнейшем. В результате подключения сервер WNAM 2 будет введен в домен как обычная рабочая станция два раза:

  • под собственным именем сервера, например, WNAM, для целей NTLM-взаимодействия (используя samba/winbind);
  • под именем сервера с постфиксом "-ADC", например, WNAM-ADC, для целей LDAP-взаимодействия (используя python/ldap3).
Существует жесткое ограничение на NETBIOS-имя - 15 символов. Таким образом, с учетом добавления суффикса -ADC и исходному имени, его длина не может превышать 11 символов. Не называйте ваш сервер длинным (более 11) символов именем, в противном случае ADCTool не сможет выполнить подключение к домену.

Обращаем внимание, что сервер WNAM 2 будет введен в домен дважды, как две разные рабочие станции.  

Для корректной работы LDAP-подключения необходимо, чтобы ваш контроллер домена поддерживал TLS-соединение по протоколу LDAP. Система WNAM 2 не поддерживает подключение по LDAP без шифрования, т.к. оно обязательно для создания машинной учётной записи. Для поддержки шифрования в канале LDAP необходимо включить на контроллере домена поддержку TLS, для чего на контроллер домена необходимо поместить SSL-сертификат с ключом. Для того, чтобы это сделать следует обратиться к документации вендора Майкрософт либо к более детальной инструкции.

WNAM 2 поддерживает одновременное взаимодействие с несколькими несвязанными доменами (мульти-домен). Для этого вам необходимо установить на сервер WNAM 2 специальную библиотеку libwinbind-client.so (вручную, или скриптом upgrade-adctool.sh, либо она уже присутствует в эталонном образе виртуальной машины).

Оба механизма взаимодействия используют надежную авторизацию, основанную на автоматически обновляемых Kerberos-тикетах. При проведении запросов к контроллеру домена применяется машинная авторизация вашего сервера WNAM 2 и не используются служебные пользовательские учетные записи.

Если вы отключите чекбокс "Использовать для PEAP/NTLM (samba)" при создании подключения, запустится только LDAP-коннектор. Этого достаточно, если вы делаете подключение для проверки доменных учетных данных при логине через TACACS+, в веб-интерфейс WNAM 2, для сопоставления с группами/атрибутами при EAP-TLS авторизации.

Вы также можете указать, при необходимости, адрес вашего ближайшего LDAP-сервера, имя сайта Active Directory, если ваш домен очень большой и распределенный. Это позволит избежать ненужного поиска всех контроллеров в домене.

Если NETBIOS-имя вашего домена отличается от первой части (до точки) полного названия домена, что может случаться, если ваш домен создавался очень давно, укажите его старое имя (рабочей группы).

После добавления службы каталогов AD, автоматически импортируется список групп и атрибутов. Загрузив список групп и атрибутов, следует отметить желаемые чекбоксами и сохранить:

Если тестовая проверка прошла без ошибок, можно начать применять этот каталог (домен) в других настройках системы WNAM 2.


  • No labels