C1. Authentifizierung über Active Directory |
Bei der Verwendung von Active Directory können Sie nur die Authentifizierungsmethode aktivieren bzw. deaktivieren und die Reihenfolge von Authentifizierern ändern: Dazu dienen die Tags <enabled/> und <order/> in der Konfigurationsdatei auth-ads.conf. Funktionsweise: 1.Der Administrator legt den Benutzernamen und das Passwort in einem der folgenden Formate fest: •username •domain\username •username@domain •LDAP DN des Benutzers 2.Der Server wird mit diesem Namen und Passwort auf dem Standarddomänencontroller registriert (bzw. auf dem Domänencontroller für die Domäne, die im Benutzernamen angegeben wurde). 3.Wenn die Registrierung fehlgeschlagen ist, wird der nächste Authentifizierungsmechanismus verwendet. 4.LDAP DN des registrierten Benutzers wird ermittelt. 5.Beim Objekt mit dem ermittelten DN wird das Attribut DrWeb_Admin gelesen. Wenn es den Wert FALSE hat, wird davon ausgegangen, dass die Authentifizierung fehlgeschlagen ist. In diesem Fall wird der nächste Authentifizierungsmechanismus verwendet. 6.Wenn in diesem Schritt einige Attribute nicht ermittelt wurden, werden sie in den Gruppen, denen der Benutzer angehört, gesucht. Bei jeder Gruppe werden ihre übergeordneten Gruppen durchsucht (Suche in die Tiefe).
Das Dienstprogramm drweb-12.00.0-<Build>-esuite-modify-ad-schema-<Betriebssystem-Version>.exe (gehört zum Distributionsumfang des Servers) erstellt eine neue Objektklasse DrWebEnterpriseUser für Active Directory und beschreibt neue Attribute für diese Klasse. Attribute haben die folgenden OIDs in der Enterprise-Umgebung:
Die Eigenschaften der Benutzer von Active Directory werden manuell auf dem Server von Active Directory bearbeitet (mehr dazu finden Sie im Dokument unter Administrator-Authentifizierung). Rechte werden den Administratoren nach dem allgemeinen Vererbungsprinzip in der Hierarchie der Gruppen, zu denen der Administrator gehört, zugewiesen. |