Аутентификация с использованием LDAP

Данный раздел доступен для настройки через Центр управления только при обновлении Сервера Dr.Web с предыдущей версии. После отключения данного типа аутентификации ее раздел будет исключен из настроек Центра управления.

При первичной установке Сервера Dr.Web данный раздел недоступен.

Чтобы включить аутентификацию через LDAP

1.Выберите пункт Администрирование в главном меню Центра управления.

2.В управляющем меню выберите раздел Аутентификация.

3.В открывшемся окне зайдите в раздел LDAP-аутентификация.

4.Установите флаг Использовать LDAP-аутентификацию.

5.Нажмите кнопку Сохранить.

6.Для принятия изменений перезагрузите Сервер Dr.Web.

Настройка аутентификации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер Dr.Web под ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.

Настройки LDAP-аутентификации сохраняются в файле конфигурации auth-ldap.conf.

Описание основных xml-атрибутов аутентификации приведено в документе Приложения, Б2. Аутентификация при использовании LDAP.

В отличие от Active Directory, механизм можно настроить на любую схему LDAP. По умолчанию осуществляется попытка использования атрибутов Dr.Web Enterprise Security Suite, как они определены для Active Directory.

Процесс аутентификации LDAP сводится к следующему:

1.Адрес LDAP-сервера задается через Центр управления или в конфигурационном xml-файле.

2.Для заданного имени пользователя выполняются следующие действия:

Осуществляется трансляция имени в DN (Distinguished Name) с использованием DOS-подобных масок (с использованием символа *), если правила заданы.

Осуществляется трансляция имени в DN с использованием регулярных выражений, если правила заданы.

Используется пользовательский скрипт трансляции имен в DN, если он задан в настройках.

Если не подошло ни одно из правил преобразования, заданное имя используется как есть.

Формат задания имени пользователя никак не определяется и не фиксируется — он может быть таким, как это принято в данной организации, т. е. принудительная модификация схемы LDAP не требуется. Преобразование под данную схему осуществляется с использованием правил трансляции имен в LDAP DN.

3.После трансляции, как и в случае с Active Directory, с помощью полученного DN и введенного пароля осуществляется попытка регистрации данного пользователя на указанном LDAP-сервере.

4.Затем, так же как и в Active Directory, читаются атрибуты LDAP-объекта для полученного DN. Атрибуты и их возможные значения могут быть переопределены в конфигурационном файле.

5.Если остались неопределенные значения атрибутов администратора, то в случае задания наследования (в конфигурационном файле), поиск нужных атрибутов по группам, в которые входит пользователь, ведется также, как в случае с использованием Active Directory.