Каталог пользователей
Настройте каталог пользователей в Active Directory или в Центре Регистрации КриптоПро УЦ 2.0.
- Active Directory
- КриптоПро УЦ 2.0
Чтобы данные о пользователях появились в Indeed СM:
- Подготовьте в Active Directory объект (домен, контейнер, подразделение) с конечными пользователями.
- Создайте сервисную учетную запись для чтения и записи атрибутов пользователей. Вы можете распределить права между несколькими сервисными учетными записями или создать одну сервисную учетную запись с максимальным набором прав доступа к объектам Active Directory.
Выполните следующие действия:
- Откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM.
- Нажмите Дополнительно (Advanced). Нажмите Добавить (Add)→Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи (servicecm) и нажмите ОК.
- В выпадающем списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешений (Permissions) выберите:
- Список содержимого (List contents).
- Прочитать все свойства (Read all properties). По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена.
- Сброс пароля (Reset password) для возможности сбросить пароль пользователя с помощью Indeed CM.
- В списке Свойств (Properties) отметьте пункты:
- Запись: pwdLastSet (Write pwdLastSet) для возможности сбросить пароль пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) для загрузки фотографии пользователя в Active Directory с помощью Indeed CM.
- Запись: userAccountControl (Write userAccountControl) для работы опции Требовать логон по смарт-карте.
- Запись: userCertificate (Write userCertificate) для публикации сертификата КриптоПро 2.0 в профиле пользователя Active Directory.
- Нажмите ОК и затем Применить (Apply).
caution
Установите одинаковый набор прав сервисной учетной записи для каждого объекта, где хранятся пользователи Indeed CM.
Если политики безопасности домена запрещают чтение всех свойств пользователя, выдайте сервисной учетной записи права на чтение атрибутов пользователей и атрибутов объекта, где хранятся пользователи Indeed CM. Для этого:
В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта, где хранятся пользователи Indeed CM.
Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) отметьте пункты:
- Чтение: сanonicalName (Read сanonicalName);
- Чтение: Distinguished Name (Read Distinguished Name);
- Чтение: objectClass (Read objectClass);
- Чтение: objectGuid (Read objectGuid);
- Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).
Для области применения Дочерние объекты:Пользователь (Descendant user objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) выберите чтение/запись следующих наборов свойств и атрибутов:
- Чтение: личные сведения (Read personal Information);
- Чтение: общие сведения (Read general Information);
- Чтение: ограничения учетной записи (Read account restrictions);
- Чтение: открытые сведения(Read public Information);
- Запись: pwdLastSet (Write pwdLastSet);
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto);
- Запись: userAccountControl (Write userAccountControl);
- Запись: userCertificate (Write userCertificate).
info
Приведены отображаемые имена LDAP (LDAP Display Name).
Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (подробнее на сайте компании Microsoft).
Атрибуты, используемые Indeed CM при работе с каталогом пользователей
| Атрибут (LDAP Display Name) | Common Name | Комментарий |
|---|---|---|
| c | Country/Region или Country/Region Abbreviation | Входит в набор свойств «Личные сведения» (Personal Information). |
| сanonicalName | Canonical Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| cn | Common Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| company | Company | Входит в набор свойств «Открытые сведения» (Public Information). |
| department | Department | Входит в набор свойств «Открытые сведения» (Public Information). |
| distinguishedName | Distinguished Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| givenName | Given Name | Входит в набор свойств «Открытые сведения» (Public Information). |
| l | Locality Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| E-mail Addresses | Входит в набор свойств «Открытые сведения» (Public Information). | |
| manager | Manager | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectClass | Object Class | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectGUID | Оbject GUID | Входит в набор свойств «Открытые сведения» (Public Information). |
| objectSid | Object Sid | Входит в набор свойств «Общие сведения» (General Information). |
| otherMailbox | Other Mailbox | Входит в набор свойств «Открытые сведения» (Public Information). |
| proxyAddresses | Proxy Addresses | Входит в набор свойств «Открытые сведения» (Public Information). |
| pwdLastSet | Pwd Last Set | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| sAMAccountName | SAM Account Name | Входит в набор свойств «Общие сведения» (General Information). |
| sn | Surname | Входит в набор свойств «Открытые сведения» (Public Information). |
| st | State or Province Name | Входит в набор свойств «Личные сведения» (Personal Information). |
| streetAddress | Address (или Street) | Входит в набор свойств «Личные сведения» (Personal Information). |
| telephoneNumber | Telephone Number | Входит в набор свойств «Личные сведения» (Personal Information). |
| thumbnailPhoto или jpegPhoto | Picture | Входит в набор свойств «Личные сведения» (Personal Information). |
| userAccountControl | User Account Control | Входит в набор свойств «Ограничения учетной записи» (Account Restrictions). |
| userCertificate | User Certificate | Входит в набор свойств «Личные сведения» (Personal Information). |
| userPrincipalName | User Principal Name | Входит в набор свойств «Открытые сведения» (Public Information). |
Чтобы данные о пользователях появились в Indeed СM:
- Создайте сервисную группу пользователей в Центре Регистрации КриптоПро 2.0.
- Создайте сервисную учетную запись, от имени которой Indeed CM будет обращаться к УЦ для запроса сертификатов пользователей. Вы можете использовать любую учетную запись, уже созданную в Центре Регистрации, поместив ее в предварительно созданную и наделенную необходимыми полномочиями сервисную группу Indeed CM.
Выполните следующие действия:
- Создайте группу безопасности с произвольным именем, например, Indeed CM Service Users в Консоли управления ЦР.
- Откройте свойства папки, в которой будут располагаться пользователи Indeed CM, и перейдите на вкладку Безопасность.
- Добавьте созданную группу Indeed CM Service Users.
- Выдайте группе Indeed CM Service Users следующие разрешения:
Набор разрешений для сервисной группы пользователей
| Наименование разрешения | Тип объекта | Комментарий |
|---|---|---|
| Чтение свойств | Папка, Пользователь | Чтение свойств объекта. Если у субъекта нет права чтения свойств объекта, то объект не виден субъекту. Разрешение необходимо выдать и для корневой папки «Центр Регистрации» с наследованием для чтения списка пользователей. |
| Запись свойств | Папка | Запись свойств объекта. Необходимо выдать и для корневой папки «Центр Регистрации» с наследованием для публикации списка отозванных сертификатов |
| Запрос регистрации | Папка | Создание запроса на регистрацию пользователя |
| Запрос сертификата | Пользователь, шаблон | Создание запроса сертификата для пользователя |
| Запрос аннулирования | Пользователь | Создание запроса на аннулирование сертификата пользователя |
| Запрос приостановления | Пользователь | Создание запроса на приостановление сертификата пользователя |
| Запрос возобновления | Пользователь | Создание запроса на возобновление сертификата пользователя |
| Одобрение регистрации | Папка | Одобрение запроса на регистрацию пользователя |
| Одобрение сертификата | Пользователь, шаблон | Одобрение запроса сертификата для пользователя. Необходимо выдать и для корневой папки «Центр Регистрации» с наследованием. |
| Одобрение аннулирования | Пользователь | Одобрение запроса на аннулирование сертификата пользователя |
| Одобрение приостановления | Пользователь | Одобрение запроса на приостановление сертификата пользователя |
| Одобрение возобновления | Пользователь | Одобрение запроса на возобновление сертификата пользователя |
| Передача запросов | Пользователь | Передача запросов, подписанных пользователем-получателем услуги, а не подписью пользователя, передающего или одобряющего запрос. |
| Запрос переименования | Пользователь | Создание запроса на изменение данных пользователя. |
| Одобрение переименования | Пользователь | Одобрение запроса на изменение данных пользователя. |