Seuls l’autorisation d’utilisation et l’ordre dans la liste des authentificateurs doivent être configurés : balises <enabled/> et <order/> dans auth-ads.conf.
Principe de fonctionnement :
1.L’administrateur définit le nom d’utilisateur et le mot de passe à l’un des formats suivants :
•username,
•domain\username,
•username@domain,
•LDAP DN de l’utilisateur.
2.Le Serveur Dr.Web s’enregistre sur le contrôleur de domaine par défaut avec ce nom d’utilisateur et ce mot de passe (ou sur un contrôleur de domaine pour le domaine spécifié dans le nom d’utilisateur).
3.En cas d’authentification échouée, le mécanisme d’authentification suivant sera essayé.
4.Puis LDAP DN de l’utilisateur enregistré sera déterminé.
5.L’attribut DrWebAdmin est lu depuis l’objet ayant le DN déterminé. Si l’attribut prend la valeur FALSE, la tentative est considérée comme échouée et le mécanisme d’authentification suivant sera appliqué.
6.Si lors de cette étape, certains attributs ne sont pas déterminés, ils seront recherchés dans les groupes dont l’utilisateur fait partie. Les groupes parent de chaque groupe seront vérifiés (stratégie de recherche — en profondeur).
|
En cas de n’importe quel erreur, le mécanisme d’authentification suivant sera appliqué. |
L’utilitaire drweb-13.00.0-<assemblage>-esuite-modify-ad-schema-<version_de_l’OS>.exe (fourni séparément du package d’installation du Serveur Dr.Web) crée une nouvelle classe d’objets DrWebEnterpriseUser pour Active Directory et décrit de nouveaux attributs pour cette classe.
Dans l’espace Enterprise, les attributs ont les OID suivants :
DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise |
La modification des propriétés des utilisateurs d’Active Directory se fait manuellement sur le serveur Active Directory (voir le Manuel Administrateur, p. Authentification des administrateurs).
Assigner des droits aux administrateurs se fait selon le principe général d’héritage dans la structure hiérarchique des groupes auxquels appartient l’administrateur.