Общее описание

С версии 1.2 NAICE поддержана возможность аутентификации пользователей в рамках глобального каталога леса доменов и работа с вложенными группами Active Directory.

Глобальный каталог

GC (Глобальный каталог) - специальный контроллер домена в лесу Active Directory, который хранит информацию обо всех объектах во всех доменах леса. Взаимодействие с глобальных каталогом позволяет выполнять аутентификацию и авторизацию пользователей в Active Directory не только в рамках домена, указанного в настройках подключения NAICE, но и в других доменах, входящих в лес (Domain Forest). Для подключения к глобальному каталогу по умолчанию используются порты 3268 (без шифрования передаваемых данных) и 3269 (с шифрованием передаваемых данных). Ниже на схеме приведен пример леса доменов.

Рис. 1.

Используйте Global Catalog, если пользователи находятся в разных доменах одного леса Active Directory. Поддерживается поиск пользователей в пределах одного леса Active Directory. Если все пользователи находятся в одном домене, достаточно обычного подключения LDAP в рамках инструкции v1.2_4.1.1 Настройка интеграции с Active Directory

Вложенные группы

Active Directory позволяет выполнить включение группы в группу, что позволяет не добавлять каждого пользователя непосредственно в группу. Пример приведен на рисунке ниже:

Рис. 2.

Ограничения реализации

Общие требования к Active directory описаны в статье v1.2_4.1.1 Настройка интеграции с Active Directory.

Формат user-name пользователя

При авторизации пользователя из домена, не принадлежащего домену, в котором подключен NAICE необходимо указывать полностью его логин в формате UPN: <user-name>@<FQDN домен пользователя>

Пример

На приведённой выше на рисунке 1 схеме NAICE подключен к домену OFFICE-01.MAIN.LOC.

Пользователи домена OFFICE-01.MAIN.LOC могут подключаться используя логин форматов: username без домена, пред-win2k, UPN (подробнее описано во встроенной документации).

Пользователи других доменов могут использовать только формат UPN, например:

  • username1@main.loc
  • username2@office-02.main.loc

Работа с группами

При работе с группами пользователя необходимо учитывать, что глобальный каталог возвращает группы пользователя с учетом определенных ограничений в зависимости от их типа и домена в котором подключен NAICE:

Тип группыПользователь может быть добавленГруппа возвращается при запросе
Глобальнаятолько из совпадающего домена группы к любому домену
Локальная в доменепользователь любого домена только при запросе к домену группы, совпадающим с доменом подключения NAICE
Универсальнаяпользователь любого доменак любому домену

Существуют следующие ограничения при вложении групп:

Тип группыДобавление группы своего доменаДобавление группы другого домена
Глобальнаятип Глобальнаяне допускается
Локальная в доменелюбой тип группытип Глобальная и Универсальная
Универсальнаялюбой тип группытип Глобальная и Универсальная

Настройка внешнего источника идентификаций

Далее будет рассмотрены только особенности настройки внешнего источника идентификаций, прочие настройки не имеют отличий от изложенных в v1.2_4.1.1 Настройка интеграции с Active Directory.

В отличии от стандартной настройки источника идентификаций имеются следующие особенности:

Блок "Подключение":

  • Port - требуется указать порт взаимодействия с глобальным каталогом 3268 (порт по умолчанию для взаимодействия с глобальным каталогом Active Directory). При необходимости использовать шифрованный обмен - указать порт 3269 и включить опцию «Включить LDAPS».

Блок "Структура каталога":

  • Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP. Необходимо указать корневой домен леса доменов! 
  • Group search base - строка поиска групп в Active Directory по протоколу LDAP. Необходимо указать корневой домен леса доменов!

В настройках Subject search base и Group search base необходимо указать корневой домен леса! Это необходимо, чтобы обеспечить возможность  поиска атрибутов и групп пользователей в рамках всего глобального домена! Ограничение видимости саб-доменом или подразделением приведет к невозможности авторизации пользователей других доменов!

 В остальном добавление групп, атрибутов пользователей и включение источника в цепочку идентифкаций не имеет особенностей и выполняется в соответсвии с инструкцией v1.2_4.1.1 Настройка интеграции с Active Directory

  • Нет меток