Аутентификация администратора для подключения к Enterprise Серверу возможна следующими способами:
1.С хранением данных об администраторах в БД Сервера.
2.С помощью Active Directory (в версиях Сервера для ОС Windows).
3.С использованием LDAP-протокола.
4.С использованием RADIUS-протокола.
Методы аутентификации используются последовательно согласно следующим принципам:
1.Порядок использования методов аутентификации зависит от порядка их следования в настройках, задаваемых через Центра Управления.
2.Первой всегда осуществляется попытка аутентификации администратора из БД Сервера.
3.Второй по умолчанию используется аутентификация через LDAP, третьей - через Active Directory, четвертой - через RADIUS.
4.В настройках Сервера методы аутентификации через LDAP, Active Directory и RADIUS можно поменять местами, но первой всегда осуществляется попытка аутентификации администратора из БД.
5.Методы аутентификации через LDAP, Active Directory и RADIUS по умолчанию отключены.
Для изменения порядка использования методов авторизации:
1.Выберите пункт Администрирование в главном меню Центра Управления.
2.В управляющем меню выберите раздел Авторизация.
3.В открывшемся окне представлен список типов авторизации в том порядке, в котором они используются. Для изменения порядка следования нажмите на стрелку слева от названия типа авторизации. Соответствующие типы авторизации поменяются местами.
Аутентификация администраторов из БД Сервера
Метод аутентификации с хранением данных об администраторах в БД Сервера используется по умолчанию.
Для управления списком администраторов:
1.Выберите пункт Администрирование в главном меню Центра Управления.
2.В управляющем меню выберите раздел Администраторы. Откроется список всех зарегистрированных в БД администраторов.
Подробнее см. п. Управление учетными записями администраторов.
Аутентификация при использовании Active Directory
Для включения аутентификации через Active Directory:
1.Выберите пункт Администрирование в главном меню Центра Управления.
2.В управляющем меню выберите раздел Авторизация.
3.В открывшемся окне зайдите в раздел Microsoft Active Directory.
4.Установите флаг Использовать авторизацию Microsoft Active Directory.
5.Нажмите Сохранить.
При аутентификации администраторов из Active Directory в Центре Управления настраивается только разрешение использования данного метода аутентификации.
Редактирование свойств администраторов Active Directory осуществляется вручную на сервере Active Directory.
Для редактирования администраторов Active Directory:
|
Следующие операции необходимо выполнять на ПК, где присутствует оснастка для администрирования Active Directory. |
1.Для возможности редактирования параметров администраторов необходимо выполнить следующие операции:
a)Для модификации схемы Active Directory запустите утилиту drwschema-modify.exe (входит в дистрибутив Enterprise Сервера).
Модификация схемы Active Directory может занять некоторое время. В зависимости от конфигурации вашего домена, для синхронизации и применения модифицированной схемы может потребоваться до 5 минут и более.
b)Для регистрации оснастки Active Directory Schema (Схема Active Directory) выполните с административными полномочиями команду regsvr32 schmmgmt.dll, после чего запустите mmc и добавьте оснастку Active Directory Schema.
c)Используя добавленную оснастку Active Directory Schema, добавьте к классу User и (если необходимо) к классу Group вспомогательный класс DrWebEnterpriseUser.
|
Если применение модифицированной схемы еще не завершилось, класс DrWebEnterpriseUser может быть не найден. В таком случае подождите некоторое время и повторите попытку согласно п. с). |
d)С административными полномочиями запустите файл drweb-esuite-aduac-600-xxxxxxxxx-windows-nt-xYY.msi (входит в дистрибутив Dr.Web Enterprise Security Suite 6.0.4) и дождитесь окончания установки.
2.Графический интерфейс для редактирования атрибутов доступен на панели управления Active Directory Users and Computers → в разделе Users → в окне редактирования свойств выбранного пользователя Administrator Properties → на вкладке Dr.Web Authentication.
3.Для редактирования доступны следующие параметры (значение каждого атрибута может быть yes, no или not set):
◆User is administrator - указывает на то, что пользователь - полноправный администратор.
◆User is read-only administrator - указывает на то, что пользователь - администратор с правами только на чтение.
Если значение yes задано только для параметра User is administrator, то пользователь - администратор с полными правами.
Если значение yes задано для параметров User is administrator и User is read-only administrator одновременно, то пользователь - администратор с правами только на чтение.
◆Inherit permissions from groups - параметр, разрешающий наследование значений для остальных параметров из групп пользователя. Если какой-либо параметр (или несколько параметров) принимают значение not set и для Inherit permissions from groups указано значение yes, то значения незаданных параметров наследуются от групп, в которые входит данный пользователь.
|
Алгоритмы принципа работы и разбора атрибутов при авторизации приведены в Приложении O. |
Аутентификация при использовании LDAP
Для включения аутентификации через LDAP:
1.Выберите пункт Администрирование в главном меню Центра Управления.
2.В управляющем меню выберите раздел Авторизация.
3.В открывшемся окне зайдите в раздел LDAP-авторизация.
4.Установите флаг Использовать LDAP-авторизацию.
5.Нажмите Сохранить.
Настройка авторизации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер под ОС семейства UNIX для авторизации в Active Directory на доменном контроллере.
|
Настройки LDAP-авторизации сохраняются в файле конфигурации auth-ldap.xml. Описание основных xml-атрибутов авторизации приведено в Приложении O. |
В отличие от Active Directory, механизм можно настроить на любую схему LDAP. По умолчанию осуществляется попытка использования атрибутов Dr.Web Enterprise Security Suite, как они определены для Active Directory.
Процесс авторизации LDAP сводится к следующему:
1.Адрес LDAP-сервера задается через Центр Управления или в конфигурационном xml-файле.
2.Для заданного имени пользователя выполняются следующие действия:
◆Осуществляется трансляция имени в DN (Distinguished Name) с использованием DOS-подобных масок (с использованием символа *), если правила заданы.
◆Осуществляется трансляция имени в DN с использованием регулярных выражений, если правила заданы.
◆Используется пользовательский скрипт трансляции имен в DN, если он задан в настройках.
◆В случае, если не подошло ни одно из правил преобразования, заданное имя используется как есть.
|
Формат задания имени пользователя никак не определяется и не фиксируется - он может быть таким, как это принято в данной организации, т.е. принудительная модификация схемы LDAP не требуется. Преобразование под данную схему осуществляется с использованием правил трансляции имен в LDAP DN. |
3.После трансляции, как и в случае с Active Directory, с помощью полученного DN и введенного пароля осуществляется попытка регистрации данного пользователя на указанном LDAP-сервере.
4.Затем, так же как и в Active Directory, читаются атрибуты LDAP-объекта для полученного DN. Атрибуты и их возможные значения могут быть переопределены в конфигурационном файле.
5.Если остались неопределенные значения атрибутов администратора, то в случае задания наследования (в конфигурационном файле), поиск нужных атрибутов по группам, в которые входит пользователь, ведется также, как в случае с использованием Active Directory.