Active Directory, Samba DC, РЕД АДМ
Samba DC и РЕД АДМ могут быть настроены как дополнительный контроллер домена для Active Directory или как основной контроллер домена.
Каталоги поддерживаются в следующих модулях интеграции:
- Identity Provider
- FreeRADIUS Extension
- LDAP Proxy
- Linux Logon
- RDP Windows Logon
- Windows Logon
- Mobile Device Provisioning (только Active Directory)
- NPS RADIUS Extension (только Active Directory)
Создание сервисной учетной записи
В зависимости от используемой службы каталогов создайте сервисную учетную запись для чтения одним из следующих способов:
- в оснастке Active Directory (для Active Directory, Samba DC и РЕД АДМ)
- с помощью инструмента командной строки samba-tool (для Samba DC и РЕД АДМ)
- в веб-интерфейсе РЕД АДМ (только для РЕД АДМ)
При создании учетной записи Samba DC используйте только допустимые специальные символы, цифры и латинские буквы.
В оснастке Active Directory
Чтобы создать сервисную учетную запись для Active Directory, Samba DC и РЕД АДМ, выполните следующие действия:
- Откройте Active Directory — Пользователи и компьютеры.
- Выберите каталог, в котором планируете создать учетную запись.
- Нажмите
. - В открывшемся окне Новый объект → Пользователь введите имя пользователя и нажмите Далее.
- Введите пароль.
- Отключите опцию Требовать смены пароля при следующем входе в систему.
- Выберите опцию Срок действия пароля не ограничен и нажмите Готово.
С помощью командной строки
Чтобы создать сервисную учетную запись для Samba DC и РЕД АДМ, выполните следующие действия:
Выполните команду:
samba-tool user create <имя пользователя>Примерsamba-tool user create CatalogAdminЧтобы добавить созданного пользователя в группу Account Operators:
samba-tool group addmembers "Account Operators" <имя пользователя>
В веб-интерфейсе РЕД АДМ
Чтобы создать сервисную учетную запись для РЕД АДМ, выполните следующие действия:
- Откройте веб-интерфейс РЕД АДМ.
- Перейдите в раздел Управление объектами домена → Пользователи.
- Нажмите Создать.
- Укажите имя сервисной учетной записи.
- Заполните обязательные поля и нажмите Создать.
- Чтобы добавить пользователя в группу Account Operators:
- Перейдите в раздел Управление объектами домена → Пользователи.
- Во вкладке Общие в поле Фамилия укажите имя пользователя в формате
DOMAIN\user. Настройка необходима для корректной работы модуля RDP Windows Logon. - Во вкладке Член групп нажмите Добавить.
- Выберите Account Operators и нажмите Добавить.
Предоставление прав на чтение данных
Если политика безопасности вашей компании разрешает всем пользователям в домене читать данные всех объектов в домене, вы не должны выполнять эту настройку.
Если настроено ограничение на чтение данных, выполните следующие действия:
- Откройте Active Directory — Пользователи и компьютеры.
- Во вкладке Вид включите опцию Дополнительные компоненты.
- Правой кнопкой мыши нажмите объект с пользователями и выберите Свойства.
- В окне Свойства выполните следующие действия:
- Откройте вкладку Безопасность.
- В разделе Группы или пользователи добавьте созданную ранее сервисную учетную запись.
- В разделе Разрешения для выберите опцию Запись и нажмите кнопку Дополнительно.
- В открывшемся окне Дополнительные параметры безопасности выберите сервисную учетную запись и нажмите Изменить.
- В открывшемся окне Элемент разрешения в списке Применяется к выберите Этот объект и все дочерние объекты и нажмите ОК.
Атрибуты пользователей
Если вы планируете использовать несколько каталогов, в которых применяется формат имени SamCompatibleName, настройте поиск пользователей с помощью регулярных выражений.
| Атрибут пользователя | Описание |
|---|---|
| FirstName | Имя пользователя |
| MiddleName | Отчество пользователя |
| LastName | Фамилия пользователя |
| Адрес электронной почты пользователя | |
| Phone | Номер телефона пользователя |
| Name | Отображаемое имя пользователя |
| CanonicalName | Каноническое имя пользователя, например domain.com/Users/testuser |
| PrincipalName | Уникальное имя пользователя в определенном формате, например testuser@domain.com |
| SamCompatibleName | Имя пользователя, совместимое с системой учетных записей Security Account Manager (SAM). Например, domain\testuser |
| DistinguishedName | Уникальное имя объекта в иерархии Active Directory, состоящее из полного пути к объекту. Например, CN=testuser,OU=Users,DC=domain,DC=com |
| Sid | Уникальный идентификатор безопасности, присваиваемый каждому объекту в Active Directory. Sid используется для управления доступом к ресурсам и аутентификации пользователей и объектов |