Данный модуль предназначен для настройки соединения с доменом в сети, по средствам сетевого протокола kerberos или ldap.
Для подключения к контроллеру домена по сетевому протоколу kerberos необходимо заполнить все имеющиеся поля:
Поле «Имя компьютера». Задает hostname.
Поле «Имя домена». Задает имя домена, в котором ИКС будет как пользователь.
Поле «DNS-имя контроллера домена». Указывается соответствующее имя.
Поле «Keytab файл». Предназначено для загрузки Keytab файла.
Рассмотрим пример создания Keytab файла, предположим, что имя компьютера - Test, а имя домена - test.ru. Тогда для создания Keytab файла необходимо выполнить следующие действия на контроллере домена:
ktpass -princ HTTP/Test.test.ru@TEST.RU -mapuser «Test» -pass «Aa123456» -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\ics_01.keytab
где
-princ HTTP/Test.test.ru@TEST.RU - имя принципала службы (SPN)
-mapuser «Test» - пользователь созданный в контроллере домена
-pass «Aa123456» - пароль созданного пользователя
-out C:\ics_01.keytab - путь где создавать Keytab файл с указанием его имени
В случае удачной настройки, ИКС сообщит соответствующую информацию (А-запись, PTR-запись, Попытка авторизации должны иметь статус - ок). В случае неудачной попытки, ИКС выдаст рекомендации по их устранению. Также стоит отметить, что при подключении по протоколу kerberos имя ситемы будет изменено на имя.домен.
Особенности функционирования
Данные полей синхронизируется с формой импорта из LDAP/AD. При заполнении настроек, обязательными полями являются: «Контроллер домена» - указывается IP-адрес, «Домен» - указывается имя домена, «Логин» и «Пароль» пользователя из домена (не обязательно администратора). При корректном заполнении всех необходимый полей и нажатии кнопки «Сохранить», служба синхронизации будет запущена, в ином случае настройки не будут сохранены.
В случае необходимости установки шифрованного канала между LDAP-сервером и «ИКС» необходимо установить флаг «Secure LDAP» и выбрать сертификат из модуля сертификатов «ИКС». Стоит отметить, что данный сертификат должен быть установлен на LDAP-сервере. При создании сертификата на «ИКС» стоит выбрать в поле «Тип сертификата» - «Конечный сертификат», а в поле «Шаблон» - «Сервер».