Здесь показаны различия между двумя версиями данной страницы.
Следующая версия | Предыдущая версия | ||
ics70:kerberos [2020/04/20 11:07] misha создано |
ics70:kerberos [2020/07/01 11:07] misha [Kerberos] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
====== Настройка синхронизации ====== | ====== Настройка синхронизации ====== | ||
- | для синхронизации | + | |
+ | Данный модуль предназначен для настройки соединения с доменом в сети, по средствам сетевого протокола kerberos или ldap. | ||
===== Kerberos ===== | ===== Kerberos ===== | ||
- | новый модуль | + | |
+ | {{ .:kerberos.png?nolink }} | ||
+ | |||
+ | Для подключения к контроллеру домена по сетевому протоколу kerberos необходимо заполнить все имеющиеся поля:\\ | ||
+ | //Поле "Имя компьютера"//. Задает hostname.\\ | ||
+ | //Поле "Имя домена"//. Задает имя домена, в котором ИКС будет как пользователь.\\ | ||
+ | //Поле "DNS-имя контроллера домена"//. Указывается соответствующее имя.\\ | ||
+ | //Поле "Keytab файл"//. Предназначено для загрузки Keytab файла.\\ | ||
+ | |||
+ | Рассмотрим пример создания Keytab файла, предположим, что имя компьютера - Test, а имя домена - test.ru. Тогда для создания Keytab файла необходимо выполнить следующие действия на контроллере домена: | ||
+ | * Создать пользователя **Test** с бессрочным паролем, имя не должно содержать кириллических символов | ||
+ | * Выполнить от имени администратора в командной строке | ||
+ | ''ktpass -princ HTTP/Test.test.ru@TEST.RU -mapuser "Test" -pass "Aa123456" -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\ics_01.keytab'' | ||
+ | |||
+ | где\\ | ||
+ | -princ HTTP/Test.test.ru@TEST.RU - имя принципала службы (SPN)\\ | ||
+ | -mapuser "Test" - пользователь созданный в контроллере домена\\ | ||
+ | -pass "Aa123456" - пароль созданного пользователя\\ | ||
+ | -out C:\ics_01.keytab - путь где создавать Keytab файл с указанием его имени\\ | ||
+ | |||
+ | В случае удачной настройки, ИКС сообщит соответствующую информацию (А-запись, PTR-запись, Попытка авторизации должны иметь статус - ок). В случае неудачной попытки, ИКС выдаст рекомендации по их устранению. Также стоит отметить, что при подключении по протоколу kerberos имя ситемы будет изменено на //__имя.домен__//. | ||
+ | |||
+ | **Особенности функционирования** | ||
+ | * Для корректного функционирования авторизации по протоколу kerberos необходимо добавить перенаправление [[ics70:dns#зоны|DNS-зоны]] домена на IP адрес одного или нескольких контроллеров домена. Или ИКС должен использовать контроллер домена как единственный DNS сервер (указывается в настройках провайдера). | ||
+ | * Если Пользователь не прошел авторизацию по протоколу kerberos на прокси сервере, ему будет предложено ввести логин/пароль для ldap авторизации. Стоит отметить, что если не используется ldaps (ldap с сертификатом) пароль при авторизации будет передаваться в открытом виде. | ||
===== LDAP ===== | ===== LDAP ===== | ||
Данные полей синхронизируется с формой импорта из [[ics70:users#импорт_пользователей|LDAP/AD]]. При заполнении настроек, обязательными полями являются: «Контроллер домена» - указывается IP-адрес, «Домен» - указывается имя домена, «Логин» и «Пароль» пользователя из домена (не обязательно администратора). При корректном заполнении всех необходимый полей и нажатии кнопки «Сохранить», служба синхронизации будет запущена, в ином случае настройки не будут сохранены. | Данные полей синхронизируется с формой импорта из [[ics70:users#импорт_пользователей|LDAP/AD]]. При заполнении настроек, обязательными полями являются: «Контроллер домена» - указывается IP-адрес, «Домен» - указывается имя домена, «Логин» и «Пароль» пользователя из домена (не обязательно администратора). При корректном заполнении всех необходимый полей и нажатии кнопки «Сохранить», служба синхронизации будет запущена, в ином случае настройки не будут сохранены. | ||
В случае необходимости установки шифрованного канала между LDAP-сервером и «ИКС» необходимо установить флаг «Secure LDAP» и выбрать сертификат из модуля [[ics70:serts|сертификатов]] «ИКС». Стоит отметить, что данный сертификат должен быть установлен на LDAP-сервере. При создании сертификата на «ИКС» стоит выбрать в поле «Тип сертификата» - «Конечный сертификат», а в поле «Шаблон» - «Сервер». | В случае необходимости установки шифрованного канала между LDAP-сервером и «ИКС» необходимо установить флаг «Secure LDAP» и выбрать сертификат из модуля [[ics70:serts|сертификатов]] «ИКС». Стоит отметить, что данный сертификат должен быть установлен на LDAP-сервере. При создании сертификата на «ИКС» стоит выбрать в поле «Тип сертификата» - «Конечный сертификат», а в поле «Шаблон» - «Сервер». | ||
+ | |||
+ | {{ics70:set_auth_ldap.png}} |