C1. Autenticación mediante Active Directory

Solo se configura el permiso para usar y el orden en la lista de los autenticadores: tags <enabled/> y <order/> y auth-ads.conf.

Principio de funcionamiento:

1.El administrador establece el nombre de usuario y la contraseña en uno de los siguientes formatos:

username,

domain\username,

username@domain,

LDAP DN del usuario.

2.El Servidor Dr.Web está registrado con este nombre y contraseña en el controlador de dominio predeterminado (o controlador de dominio para el dominio especificado en el nombre de usuario).

3.Si no fue posible registrarse, se realiza la transición al siguiente mecanismo de autenticación.

4.Se determina el DN LDAP del usuario registrado.

5.El objeto con DN calculado contiene el atributo legible DrWebAdmin. Si está instalado en FALSE — fracaso y transición al siguiente mecanismo de autenticación.

6.Si en esta etapa unos atributos no están definidos, se buscan en los grupos a los que pertenece este usuario. Para cada grupo, se ven sus grupos parentales (estrategia de búsqueda — hacia adentro).

En caso de cualquier error, se realiza la transición al siguiente mecanismo de autenticación.

Utilidad drweb-13.00.0-<compilación>-esuite-modify-ad-schema-<versión_SO>.exe (se proporciona por separado del kit de distribución del Servidor Dr.Web) crea una nueva clase de objetos DrWebEnterpriseUser para Active Directory y describe los nuevos atributos para esta clase.

Los atributos tienen los siguientes OID en el espacio Enterprise:

DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise
DrWeb_DrWeb_OID DrWeb_enterprise_OID ".29690" // DrWeb
DrWeb_EnterpriseSuite_OID DrWeb_DrWeb_OID ".1" // EnterpriseSuite
DrWeb_Alerts_OID DrWeb_EnterpriseSuite_OID ".1" // Alerts
DrWeb_Vars_OID DrWeb_EnterpriseSuite_OID ".2" // Vars
DrWeb_AdminAttrs_OID DrWeb_EnterpriseSuite_OID ".3" // AdminAttrs
 
// 1.3.6.1.4.1.29690.1.3.1 (AKA iso.org.dod.internet.private.enterprise.DrWeb.EnterpriseSuite.AdminAttrs.Admin)
 
DrWeb_Admin_OID DrWeb_AdminAttrs_OID ".1" // R/W admin
DrWeb_AdminReadOnly_OID DrWeb_AdminAttrs_OID ".2" // R/O admin
DrWeb_AdminGroupOnly_OID DrWeb_AdminAttrs_OID ".3" // Group admin
DrWeb_AdminGroup_OID DrWeb_AdminAttrs_OID ".4" // Admin's group
DrWeb_Admin_AttrName "DrWebAdmin"
DrWeb_AdminReadOnly_AttrName "DrWebAdminReadOnly"
DrWeb_AdminGroupOnly_AttrName "DrWebAdminGroupOnly"
DrWeb_AdminGroup_AttrName "DrWebAdminGroup"

La edición de las propiedades del usuario de Active Directory se realiza manualmente en el servidor Active Directory (vea el Manual de administrador, en el p. Autenticación de los administradores).

La asignación de derechos a los administradores se realiza de acuerdo con el principio general de herencia en la estructura jerárquica de los grupos a los que pertenece el administrador.