Инструменты пользователя

Инструменты сайта


ics70:kerberos

Настройка синхронизации

Данный модуль предназначен для настройки соединения с доменом в сети, по средствам сетевого протокола kerberos или ldap.

Kerberos

Для подключения к контроллеру домена по сетевому протоколу kerberos необходимо заполнить все имеющиеся поля:
Поле «Имя компьютера». Задает hostname.
Поле «Имя домена». Задает имя домена, в котором ИКС будет как пользователь.
Поле «DNS-имя контроллера домена». Указывается соответствующее имя.
Поле «Keytab файл». Предназначено для загрузки Keytab файла.

Рассмотрим пример создания Keytab файла, предположим, что имя компьютера - Test, а имя домена - test.ru. Тогда для создания Keytab файла необходимо выполнить следующие действия на контроллере домена:

  • Создать пользователя Test с бессрочным паролем, имя не должно содержать кириллических символов
  • Выполнить от имени администратора в командной строке

ktpass -princ HTTP/Test.test.ru@TEST.RU -mapuser «Test» -pass «Aa123456» -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\ics_01.keytab

где
-princ HTTP/Test.test.ru@TEST.RU - имя принципала службы (SPN)
-mapuser «Test» - пользователь созданный в контроллере домена
-pass «Aa123456» - пароль созданного пользователя
-out C:\ics_01.keytab - путь где создавать Keytab файл с указанием его имени

В случае удачной настройки, ИКС сообщит соответствующую информацию (А-запись, PTR-запись, Попытка авторизации должны иметь статус - ок). В случае неудачной попытки, ИКС выдаст рекомендации по их устранению. Также стоит отметить, что при подключении по протоколу kerberos имя ситемы будет изменено на имя.домен.

Особенности функционирования

  • Для корректного функционирования авторизации по протоколу kerberos необходимо добавить перенаправление DNS-зоны домена на IP адрес одного или нескольких контроллеров домена. Или ИКС должен использовать контроллер домена как единственный DNS сервер (указывается в настройках провайдера).
  • Если Пользователь не прошел авторизацию по протоколу kerberos на прокси сервере, ему будет предложено ввести логин/пароль для ldap авторизации. Стоит отметить, что если не используется ldaps (ldap с сертификатом) пароль при авторизации будет передаваться в открытом виде.

LDAP

Данные полей синхронизируется с формой импорта из LDAP/AD. При заполнении настроек, обязательными полями являются: «Контроллер домена» - указывается IP-адрес, «Домен» - указывается имя домена, «Логин» и «Пароль» пользователя из домена (не обязательно администратора). При корректном заполнении всех необходимый полей и нажатии кнопки «Сохранить», служба синхронизации будет запущена, в ином случае настройки не будут сохранены.

В случае необходимости установки шифрованного канала между LDAP-сервером и «ИКС» необходимо установить флаг «Secure LDAP» и выбрать сертификат из модуля сертификатов «ИКС». Стоит отметить, что данный сертификат должен быть установлен на LDAP-сервере. При создании сертификата на «ИКС» стоит выбрать в поле «Тип сертификата» - «Конечный сертификат», а в поле «Шаблон» - «Сервер».

ics70/kerberos.txt · Последние изменения: 2020/07/01 11:07 — misha