Данный модуль предназначен для настройки соединения с доменом в сети, по средствам сетевого протокола kerberos или ldap.

Для подключения к контроллеру домена по сетевому протоколу kerberos необходимо заполнить все имеющиеся поля:
Поле «Имя компьютера». Задает hostname.
Поле «Имя домена». Задает имя домена, в котором ИКС будет как пользователь.
Поле «DNS-имя контроллера домена». Указывается соответствующее имя.
Поле «Keytab файл». Предназначено для загрузки Keytab файла.

Рассмотрим пример создания Keytab файла, предположим, что имя компьютера - Test, а имя домена - test.ru. Тогда для создания Keytab файла необходимо выполнить следующие действия на контроллере домена:

• Создать пользователя Test с бессрочным паролем, имя не должно содержать кириллических символов
• Выполнить от имени администратора в командной строке

ktpass -princ HTTP/Test.test.ru@TEST.RU -mapuser «Test» -pass «Aa123456» -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\ics_01.keytab

где
-princ HTTP/Test.test.ru@TEST.RU - имя принципала службы (SPN)
-mapuser «Test» - пользователь созданный в контроллере домена
-pass «Aa123456» - пароль созданного пользователя
-out C:\ics_01.keytab - путь где создавать Keytab файл с указанием его имени

В случае удачной настройки, ИКС сообщит соответствующую информацию (А-запись, PTR-запись, Попытка авторизации должны иметь статус - ок). В случае неудачной попытки, ИКС выдаст рекомендации по их устранению. Также стоит отметить, что при подключении по протоколу kerberos имя ситемы будет изменено на имя.домен.

Особенности функционирования Для корректного функционирования авторизации по протоколу kerberos необходимо добавить перенаправление DNS-зоны домена на IP адрес одного или нескольких контроллеров домена. Или ИКС должен использовать контроллер домена как единственный DNS сервер (указывается в настройках провайдера). Если Пользователь не прошел авторизацию по протоколу kerberos на прокси сервере, ему будет предложено ввести логин/пароль для ldap авторизации. Стоит отметить, что если не используется ldaps (ldap с сертификатом) пароль при авторизации будет передаваться в открытом виде.

Данные полей синхронизируется с формой импорта из LDAP/AD. При заполнении настроек, обязательными полями являются: «Контроллер домена» - указывается IP-адрес, «Домен» - указывается имя домена, «Логин» и «Пароль» пользователя из домена (не обязательно администратора). При корректном заполнении всех необходимый полей и нажатии кнопки «Сохранить», служба синхронизации будет запущена, в ином случае настройки не будут сохранены.

В случае необходимости установки шифрованного канала между LDAP-сервером и «ИКС» необходимо установить флаг «Secure LDAP» и выбрать сертификат из модуля сертификатов «ИКС». Стоит отметить, что данный сертификат должен быть установлен на LDAP-сервере. При создании сертификата на «ИКС» стоит выбрать в поле «Тип сертификата» - «Конечный сертификат», а в поле «Шаблон» - «Сервер».