С версии 1.2 NAICE поддержана возможность аутентификации пользователей в рамках глобального каталога леса доменов и работа с вложенными группами Active Directory.
GC (Глобальный каталог) - специальный контроллер домена в лесу Active Directory, который хранит информацию обо всех объектах во всех доменах леса. Взаимодействие с глобальных каталогом позволяет выполнять аутентификацию и авторизацию пользователей в Active Directory не только в рамках домена, указанного в настройках подключения NAICE, но и в других доменах, входящих в лес (Domain Forest). Для подключения к глобальному каталогу по умолчанию используются порты 3268 (без шифрования передаваемых данных) и 3269 (с шифрованием передаваемых данных). Ниже на схеме приведен пример леса доменов.
![]()
Рис. 1.
Используйте Global Catalog, если пользователи находятся в разных доменах одного леса Active Directory. Поддерживается поиск пользователей в пределах одного леса Active Directory. Если все пользователи находятся в одном домене, достаточно обычного подключения LDAP в рамках инструкции v1.2_4.1.1 Настройка интеграции с Active Directory |
Active Directory позволяет выполнить включение группы в группу, что позволяет не добавлять каждого пользователя непосредственно в группу. Пример приведен на рисунке ниже:
![]()
Рис. 2.
Общие требования к Active directory описаны в статье v1.2_4.1.1 Настройка интеграции с Active Directory.
При авторизации пользователя из домена, не принадлежащего домену, в котором подключен NAICE необходимо указывать полностью его логин в формате UPN: <user-name>@<FQDN домен пользователя>.
На приведённой выше на рисунке 1 схеме NAICE подключен к домену OFFICE-01.MAIN.LOC.
Пользователи домена OFFICE-01.MAIN.LOC могут подключаться используя логин форматов: username без домена, пред-win2k, UPN (подробнее описано во встроенной документации).
Пользователи других доменов могут использовать только формат UPN, например:
username1@main.locusername2@office-02.main.locПри работе с группами пользователя необходимо учитывать, что глобальный каталог возвращает группы пользователя с учетом определенных ограничений в зависимости от их типа и домена в котором подключен NAICE:
| Тип группы | Пользователь может быть добавлен | Группа возвращается при запросе |
|---|---|---|
| Глобальная | только из совпадающего домена группы | к любому домену |
| Локальная в домене | пользователь любого домена | только при запросе к домену группы, совпадающим с доменом подключения NAICE |
| Универсальная | пользователь любого домена | к любому домену |
Существуют следующие ограничения при вложении групп:
| Тип группы | Добавление группы своего домена | Добавление группы другого домена |
|---|---|---|
| Глобальная | тип Глобальная | не допускается |
| Локальная в домене | любой тип группы | тип Глобальная и Универсальная |
| Универсальная | любой тип группы | тип Глобальная и Универсальная |
Далее будет рассмотрены только особенности настройки внешнего источника идентификаций, прочие настройки не имеют отличий от изложенных в v1.2_4.1.1 Настройка интеграции с Active Directory.

В отличии от стандартной настройки источника идентификаций имеются следующие особенности:
Блок "Подключение":
Блок "Структура каталога":
Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP. Необходимо указать корневой домен леса доменов! Group search base - строка поиска групп в Active Directory по протоколу LDAP. Необходимо указать корневой домен леса доменов!В настройках |
В остальном добавление групп, атрибутов пользователей и включение источника в цепочку идентифкаций не имеет особенностей и выполняется в соответсвии с инструкцией v1.2_4.1.1 Настройка интеграции с Active Directory.