Интеграция с Active Directory может использоваться:
Требования и ограничения при взаимодействии с источником Active Directory можно просмотреть во встроенной документации. Для этого необходимо на странице Пользователи и устройства → Управление идентификацией → Внешние источники идентификации нажать в меню слева внизу на кнопку
: страница со встроенной документации откроется в отдельном разделе.
В настройках пользователя необходимо отключить опцию " |
PowerShell, входящей в состав Active Directory, запущенной с правами администратора: Set-ADAccountPassword -Identity Computer-Name$ -Reset |
Set-ADAccountPassword -Identity Computer-name$ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "password" -Force) |
|
Подробная информация о настройках для каждого раздела содержится во встроенной документации, которую можно просмотреть, нажав кнопку |
Необходимо:
Открыть раздел Пользователи и устройства → Сетевые ресурсы → Устройства и нажать
(слева в верхней части страницы). Откроется окно добавления сетевого устройства:

Нажать Добавить после заполнения настроек.
Открыть раздел Пользователи и устройства → Управление идентификацией → Внешние источники идентификации и нажать
. Откроется окно добавления внешнего источника идентификаций:

Настройка структурно разделена на блоки.
Имя - произвольное наименование источника идентификаций.
Для корректной и безопасной работы LDAPS необходимо добавить в систему сертификаты источника идентификации. Подробнее см. раздел «Доверенные сертификаты» во встроенной документации NAICE. |
Блок "Схема"
Схема - "ACTIVE_DIRECTORY".Схема "ACTIVE_DIRECTORY" имеет предустановленную структуру, которая не может быть изменена. |
Блок "Подключение"
Имя домена - короткое имя домена, в котором будет выполняться аутентификация. Без "." и конечной части. Поле доступно только при выборе схемы "ACTIVE_DIRECTORY".Admin dn - имя пользователя, который будет использоваться для обращения в Active Directory. Пользователь должен быть предварительно добавлен администратором в Active Directory.Admin password - пароль пользователя.FQDN - полное имя домена, в котором будет выполняться аутентификация пользователей, например test.loc. Так же можно указать предпочтительный контроллер домена, который будет использоваться для обращений, например srv1.test.loc.Port - порт подключения к контроллеру домена по протоколу LDAP. Как правило, используется порт 389. При включении опции «Включить LDAPS» в процессе создания источника порт автоматически изменится на 636, так как он используется протоколом LDAPS. Если значение порта было задано вручную ранее, автоматическая замена выполнена не будет. Блок "Структура каталога"
Subject search base - строка поиска атрибутов пользователей в Active Directory по протоколу LDAP, например dc=test,dc=loc.Group search base - строка поиска групп в Active Directory по протоколу LDAP, например dc=test,dc=loc.При необходимости ограничить поиск определенными подразделениями можно указать их в строке поиска, например: |
Блок "Учетные записи компьютеров" (доступен только при выборе схемы "ACTIVE_DIRECTORY"):
Hostname - выпадающий список с доступными узлами NAICE. Необходимо выбрать узел, для которого настраивается учетная запись компьютера.Имя компьютера - имя компьютера без доменной части, который будет использоваться NAICE для подключения к Active Directory. Имя должно быть уникальным в пределах списка.Пароль компьютера - пароль, который был задан компьютеру администратором после добавления компьютера.Пароль компьютера в Active Directory задается администратором после создания компьютера с использованием PowerShell. Подробнее "как задать пароль компьютера". |
После заполнения настроек необходимо нажать кнопку "Добавить", после чего нажать кнопку "Проверить связь с сервером". Если сервер доступен, появится уведомление о том, что внешний источник идентификации был успешно сохранен.
Добавить источник идентификаций при отсутствии сетевой связности с сервером невозможно. |
Для проверки полного доступа к серверу, включая корректность учетных данных пользователя и компьютера, необходимо нажать кнопку "Проверить связь с сервером". Если настройки корректны и сервер доступен, появится сообщение вида:
Более подробно о настраиваемых параметрах можно узнать во встроенной документации
.
Добавление групп не является обязательным и требуется только если планируется использовать их в условиях политик авторизации. |
После добавления источника идентификаций кнопка Добавить смениться на кнопку Далее. Можно нажать её, чтобы перейти в раздел Группы или нажать наверху страницы на
Группы и добавить группы, которые предполагается использовать в политиках авторизации:

Нажать кнопку Получить данные и выбрать группы, которые требуется добавить. В данном примере добавлена группа Гости домена.
При необходимости найти определенную группу необходимо в поле Фильтр ввести имя группы. При необходимости можно добавить "*" в начале или конце названия группы, что позволит выполнить поиск по частичному совпадению.
|
После выбора необходимых групп нажать кнопку Сохранить.
Добавление атрибутов пользователей не является обязательным и требуется только если планируется использовать их в профилях авторизации или в условиях политик авторизации. |
Атрибуты пользователей можно использовать для выдачи значении определенных параметров получая их значения из Active Directory. Далее рассматривается добавление атрибута Active Directory physicalDeliveryOfficeName который содержит значение, которое будут использоваться в качестве cVLAN. Следует иметь ввиду, что можно использовать любые атрибуты, которые содержат требуемые значения, но сам атрибут должен быть один и тот же для всех пользователей.
Перейти в раздел Атрибуты и добавить атрибут, значение которого будет использоваться для выдачи cVLAN. Следует иметь ввиду, что атрибуты, которые не имеют значений, при поиске в Active Dirtectory не возвращаются. При получении списка доступных атрибутов требуется обязательно задать фильтр с указанием имени пользователя, атрибуты которого точно содержат требуемые значения. Рекомендуется использовать фильтры: userPrincipalName=<UPN имя пользователя> или sAMAccountName=<логин пользователя>. Для пользователя в приведенном ниже примере в атрибуте Active Directory Комната (physicalDeliveryOfficeName) задано значение 1000, которое будет использоваться в качестве cVLAN:

После выбора необходимых атрибутов нажать кнопку Сохранить.
Нажав справа от добавленного атрибута кнопку
, можно изменить поле Имя на другое более понятное, так как именно оно будет отображаться при работе с LDAP-словарем. В поле Значение по умолчанию указать номер VLAN, который будет использоваться для выдачи в случае, если он не задан в атрибутах пользователя в Active Directory. Значение полей Тип и Внутреннее наименование не меняются:

После этого сохранить новое значение, нажав кнопку
справа от атрибута строки с параметрами атрибута.
Открыть раздел Пользователи и устройства → Управление идентификацией → Цепочки идентификации и нажать кнопку
:

После создания цепочки идентификации с использованием ранее созданного источника нажать кнопку Добавить.
Открыть раздел Доступ к сети → Элементы политик → Профили авторизации и нажать кнопку
. Откроется окно создания профиля авторизации:

Необходимо ввести:
Имя - название профиляПрофиль устройства - крайне важно выбрать профиль сетевого устройства тот же, что используется в настройках сетевого устройства, с которого будет выполняться авторизация клиента.В блоке "Общие задачи" необходимо включить галочку настройки VLAN, после этого нажать на кнопку выбора атрибута справа
. В раскрывшемся окне выбрать ранее созданный атрибут cVLAN:
Если выбор |

И сохранить профиль авторизации, нажав кнопку Добавить:

В разделе Доступ к сети → Политики RADIUS из коробки настроено два набора политик: Test policy set, служащий для демонстрации как могут быть настроены наборы политик, и Default, определяющий поведение в случае если входящий RADIUS-запрос не подходит ни под одно условие вышестоящих наборов политик. Таким образом набор политик Test policy set может быть удален или отредактирован.
Необходимо изменить Условие набора политик на подходящее (например, по равенству RADIUS-атрибута NAS-IP-address в запросе адресу ранее добавленного сетевого устройства), а затем перейти в детальное редактирование набора политик, нажав
справа от него:

Если в наборах политик не выполнялись настройки, то все RADIUS-запросы будут обрабатываться в политике по умолчанию Default, которая всегда будет последней и не может быть удалена. Данный набор политик предполагает отказ в авторизации, но данное поведение также можно изменить. |
Провалившись в набор политик, в блоке "Политика аутентификации" изменить настройку Цепочки идентификации для правила по умолчанию Default на ранее созданную цепочку Active Directory 1:

Далее, в блоке "Политика авторизации" нажать кнопку
в шапке таблицы и в появившейся новом правиле политики авторизации в колонке Условия нажать кнопку
. После этого:
Атрибут.ExternalGroups из словаря AD. Окно закроется, в поле Атрибут будет выбрано "AD·ExternalGroups".Оператор "Равно".Атрибут/значение и выбрать ранее импортированную из Active Directory группу.
В настройке Профили авторизации выбрать ранее созданный профиль:

После этого станет активна кнопка Сохранить. Нажать на неё и сохранить настройки политики.
На этом минимальная настройка, необходимая для авторизации клиентов с использованием источника идентификации Active Directory, выполнена. Для успешной авторизации клиенту потребуется находиться в указанной группе Active Directory. |
Подробнее настройка клиентского конечного устройства для подключения описана в v1.2_8. Настройка подключения клиента.
Машинная аутентификация поддержана только по протоколу EAP-TLS, см. v1.2_4.6.1 Настройка "машинной" авторизации EAP-TLS (по сертификату компьютера) при интеграции с Active Directory. |
Подключить клиентское устройство и после авторизации перейти в раздел Мониторинг → RADIUS → Журнал подключений:

Для подробного просмотра информации о сессии необходимо в колонке "Подробнее" нажать кнопку
:

При необходимости может быть включена настройка ротации УЗ компьютера.
Настройка выполняется в разделе Настройки системы → Безопасность и доступ → Взаимодействие с Active Directory:

Подробная информация о настройке и работе функционала описана во встроенной документации, открыть которую можно нажав кнопку
в меню слева в нижней части данной страницы.