Active Directory, Samba AD DC, РЕД АДМ
особенности настройки Samba AD DC и РЕД АДМ
Samba AD DC и РЕД АДМ могут быть настроены как дополнительный контроллер домена для Active Directory или как основной контроллер домена.
Для существующей конфигурации Indeed CM: если Indeed CM был ранее настроен на работу с каталогом пользователей в Active Directory, и контроллер домена был перенастроен на Samba AD DC или РЕД АДМ, то параметры конфигурации каталога пользователей менять не нужно.
Для новой конфигурации Indeed CM: при первой настройке подключения к каталогу пользователей Samba AD DC или РЕД АДМ в Мастере настройки выберите соответствующий тип каталога.
Создание сервисной учетной записи
В зависимости от используемой службы каталогов создайте сервисную учетную запись для чтения и записи атрибутов пользователей одним из следующих способов:
- в оснастке Active Directory (для Active Directory, Samba AD DC и РЕД АДМ)
- с помощью инструмента командной строки samba-tool (для Samba AD DC и РЕД АДМ)
- в веб-интерфейсе РЕД АДМ (только для РЕД АДМ)
В оснастке Active Directory
- Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
- Откройте контекстное меню объекта с конечными пользователями.
- Выберите Создать (Create)→Пользователь (User).
- Укажите имя сервисной учетной записи.
- Заполните обязательные поля и нажмите Готово.
С помощью samba-tool
Выполните команду:
samba-tool user add <имя пользователя>Примерsamba-tool user add servicecmЕсли сервисная учетная запись будет использоваться для настройки ролей в Indeed CM, назначьте этой учетной записи атрибут UPN (User Principal Name):
sudo samba-tool user rename <имя пользователя> --upn=<UPN-имя пользователя>Примерsudo samba-tool user rename servicecm --upn=servicecm@domain.name
В веб-интерфейсе РЕД АДМ
- Откройте веб-интерфейс РЕД АДМ.
- Перейдите в раздел Управление объектами домена→Пользователи.
- Нажмите Создать.
- Укажите имя сервисной учетной записи.
- Заполните обязательные поля и нажмите Создать.
Настройка разрешений
- Запустите оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
- Откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM, и нажмите Дополнительно (Advanced). 3. Нажмите Добавить (Add)→Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи и нажмите ОК.
- В выпадающем списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешения (Permissions) выберите:
- Список содержимого (List contents).
- Прочитать все свойства (Read all properties). По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена.
- Сброс пароля (Reset password) для возможности сбросить пароль пользователя.
- В списке Свойства (Properties) отметьте пункты:
- Запись: pwdLastSet (Write pwdLastSet) для возможности сбросить пароль пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) для загрузки фотографии пользователя в Active Directory.
- Запись: userAccountControl (Write userAccountControl) для работы опции Требовать логон по смарт-карте.
- Запись: userCertificate (Write userCertificate) для публикации сертификата КриптоПро 2.0 в профиле пользователя Active Directory.
- Нажмите ОК и Применить (Apply).
Примечание
Установите одинаковый набор прав сервисной учетной записи для каждого объекта, где хранятся пользователи Indeed CM.
Предоставление прав на чтение данных
Если политики безопасности домена запрещают чтение всех свойств пользователя, выдайте сервисной учетной записи права на чтение атрибутов пользователей и атрибутов объекта, где хранятся пользователи Indeed CM:
- В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM.
- Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):
- В списке Разрешения (Permissions) отметьте Список содержимого (List contents).
- В списке Свойства (Properties) отметьте пункты:
- Чтение: сanonicalName (Read сanonicalName);
- Чтение: Distinguished Name (Read Distinguished Name);
- Чтение: objectClass (Read objectClass);
- Чтение: objectGuid (Read objectGuid);
- Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).
- Для области применения Дочерние объекты:Пользователь (Descendant user objects):
- В списке Разрешения (Permissions) отметьте Список содержимого (List contents).
- В списке Свойства (Properties) выберите чтение/запись следующих наборов свойств и атрибутов:
- Чтение: личные сведения (Read personal Information);
- Чтение: общие сведения (Read general Information);
- Чтение: ограничения учетной записи (Read account restrictions);
- Чтение: открытые сведения(Read public Information);
- Запись: pwdLastSet (Write pwdLastSet);
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto);
- Запись: userAccountControl (Write userAccountControl);
- Запись: userCertificate (Write userCertificate).
Список атрибутов для работы с каталогом пользователей
В списке приведены отображаемые имена LDAP (LDAP Display Name).
Примечание
Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (подробнее на сайте компании Microsoft).
| Атрибут (LDAP Display Name) | Common Name | Комментарий |
|---|---|---|
| c | Country/Region или Country/Region Abbreviation | Входит в набор свойств «Личные сведения» (Personal Information). |
| сanonicalName | Canonical Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| cn | Common Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| company | Company | Входит в набор свойств «Открытые сведения» (Public Information). |
| department | Department | Входит в набор свойств «Открытые сведения» (Public Information). |
| distinguishedName | Distinguished Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| givenName | Given Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| l | Locality Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| E-mail Addresses | Входит в набор свойств «Открытые сведения» (Public Information). | |
| manager | Manager | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectClass | Object Class | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectGUID | Оbject GUID | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectSid | Object Sid | Входит в набор свойств «Общие сведения» (General Information). |
| otherMailbox | Other Mailbox | Входит в набор свойств «Открытые сведения» (Public Information). |
| proxyAddresses | Proxy Addresses | Входит в набор свойств «Открытые сведения» (Public Information). |
| pwdLastSet | Pwd Last Set | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| sAMAccountName | SAM Account Name | Входит в набор свойств «Общие сведения» (General Information). |
| sn | Surname | Входит в набор свойств «Открытые сведения» (Public Information). |
| st | State or Province Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| streetAddress | Address (или Street) | Входит в набор свойств «Личные сведения» (Personal Information). |
| telephoneNumber | Telephone Number | Входит в набор свойств «Личные сведения» (Personal Information). |
| thumbnailPhoto или jpegPhoto | Picture | Входит в набор свойств «Личные сведения» (Personal Information). |
| userAccountControl | User Account Control | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| userCertificate | User Certificate | Входит в набор свойств «Личные сведения» (Personal Information). |
| userPrincipalName | User Principal Name | Входит в набор свойств «Открытые сведения» (Public Information). |