Аутентификация с использованием LDAP/AD

1.Выберите пункт Администрирование в главном меню Центра управления.

2.В управляющем меню выберите раздел Аутентификация.

3.В открывшемся окне зайдите в раздел LDAP/AD-аутентификация.

4.Установите флаг Использовать LDAP/AD-аутентификацию.

6.Для принятия изменений перезагрузите Сервер Dr.Web.

Настройка аутентификации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер Dr.Web под ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.

Если используется LDAP-сервер, отличный от MS Active Directory, то рекомендуется настроить правила трансляции имен пользователей в DN в конфигурационном файле auth-ldap-rfc4515.conf в соответствии с RFC4515 при помощи параметров <user-dn-extension-enabled/>, <user-dn/>, <user-dn-expr/>.

Если у авторизуемого пользователя отсутствуют права на поиск на LDAP-сервере, то в параметре <bind dn/> можно настроить DN и пароль пользователя LDAP-сервера с правами чтения, от имени которого на LDAP-сервере будет осуществляться поиск данных авторизуемого пользователя.

Описание указанных параметров приведено в документе Приложения, Б3. Аутентификация при использовании LDAP/AD.

Для удобства пользователя в разделе предоставляется возможность переключения между упрощенным или расширенным вариантами настроек аутентификации через LDAP/AD.

Настройки LDAP/AD-аутентификации сохраняются в файле конфигурации auth-ldap-rfc4515.conf.

Также предоставляются конфигурационные файлы с типовыми настройками: auth-ldap-rfc4515-check-group.conf, auth-ldap-rfc4515-check-group-novar.conf, auth-ldap-rfc4515-simple-login.conf.

Описание основных xml-атрибутов аутентификации приведено в документе Приложения, Б3. Аутентификация при использовании LDAP/AD.

Особенности настройки при наличии леса доменов (корневого и дочернего доменов)

При необходимости аутентификации не только в корневом домене Active Directory, но также и в его дочерних доменах, нужно, чтобы в группе доступа в корневом домене находились пользователи из всех дочерних доменов. Тип данной группы доступа в Active Directory должен быть Universal.

Также следует убедиться, что у корневого домена включена опция Global Catalog в NTDS Settings (если эта опция включена, то порт 3268 будет прослушиваться). В настройках аутентификации в Центре управления Сервера Dr.Web следует указывать только корневой домен и номер порта Global Catalog (по умолчанию 3268). В конфигурационном файле для данного случая значение атрибута host будет иметь следующий вид: host='example.srv:3268'.

Для того чтобы при аутентификации под учетной записью из дочернего домена не вводить полное имя с доменом, следует настроить тег <bind dn/>, описание которого приведено в Б3. Аутентификация при использовании LDAP/AD.