Настройки авторизации

Модуль «Настройки авторизации» предназначен для настройки соединения с доменом в сети при помощи сетевого протокола Kerberos или LDAP.

Данные типы авторизации используются, когда необходимо авторизовать пользователей AD. Авторизация будет выполнена прозрачно, без запроса логина и пароля. Использование данных типов предполагает прямое указание прокси в браузере или других программах, которые их поддерживают.

Для открытия модуля перейдите в меню Пользователи и статистика > Настройки авторизации.

В модуле расположены следующие вкладки с соответствующими настройками:

Kerberos

Данная вкладка предназначена для подключения к контроллеру домена по протоколу сетевой аутентификации Kerberos.

  1. Заполните все поля вкладки:
    • «Имя компьютера» — задает hostname;
    • «Имя домена» — задает имя домена, в котором ИКС будет как пользователь;
    • «DNS-имя контроллера домена» — укажите соответствующее имя;
    • «Keytab файл» — предназначено для загрузки Keytab-файла.
  2. Загрузите Keytab-файл по кнопке .
  3. Нажмите «Сохранить».

Пример создания Keytab-файла

Имя компьютера — Test, имя домена — test.ru. Для создания Keytab-файла выполните следующие действия на контроллере домена:

  1. Создайте пользователя Test с бессрочным паролем, имя не должно содержать кириллических символов.
  2. Выполните от имени администратора в командной строке:

    ktpass -princ HTTP/Test.test.ru@TEST.RU -mapuser "Test" -pass "Aa123456" -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\ics_01.keytab

    где:

    • -princ HTTP/Test.test.ru@TEST.RU — имя принципала службы (SPN);
    • -mapuser "Test" — пользователь, созданный в контроллере домена;
    • -pass "Aa123456" — пароль созданного пользователя;
    • -out C:\ics_01.keytab — путь до создаваемого Keytab-файла с указанием его имени.

Для удобства команда создания Keytab-файла указана в веб-интерфейсе на вкладке «Kerberos». Она изменяется в соответствии с введенными значениями полей.

Внимание! При интеграции ИКС с LDAP-сервером FreeIPA команда для генерации keytab-файла, подходящего для настройки Kerberos, будет отличаться. Команда также выводится для удобства на вкладке «Kerberos» и изменяется в соответствии с введенными значениями полей.

Пример создания Keytab-файла (FreeIPA)

Имя компьютера — Test, имя домена — test.ru, DNS-имя сервера FreeIPA —  server.test.ru. Для создания Keytab-файла выполните следующие действия на сервере FreeIPA:

  1. Добавьте узел test c IP-адресом ИКС.
  2. Добавьте службу HTTP c указанием узла test.test.ru.
  3. Выполните команду:

    ipa-getkeytab -s server.test.ru -p HTTP/test.test.ru@TEST.RU -k /tmp/ics_01.keytab

    где:

    • -s server.test.ru — DNS-имя сервера FreeIPA;
    • -p HTTP/test.test.ru@TEST.RU — имя принципала службы (SPN);
    • -k /tmp/ics_01.keytab — путь до создаваемого Keytab-файла с указанием его имени.

В случае удачной настройки ИКС сообщит соответствующую информацию: «А-запись», «PTR-запись», «Попытка авторизации» должны иметь статус «Ок».

Если попытка прошла неудачно, ИКС выдаст рекомендации по их устранению.

Внимание! При подключении по протоколу Kerberos имя системы будет изменено на «имя.домен».

ИКС должен использовать контроллер домена как единственный DNS-сервер, иначе необходимо добавить перенаправление DNS-зоны домена на IP-адрес одного или нескольких контроллеров домена.

Настроить авторизацию на прокси с использованием Kerberos

  1. Укажите в браузере адрес прокси-сервера ИКС как имя, под которым ИКС введен в домен (например, test.office1.example.ru). По IP данный тип авторизации работать не будет.
  2. В настройках службы прокси укажите, что нужно использовать тип авторизации Kerberos.

Важно! Если пользователь не прошел Kerberos-авторизацию, ему будет предложено ввести логин и пароль для LDAP-авторизации. При этом если не используется LDAPS (с сертификатом), пароль при LDAP-авторизации будет передаваться в открытом виде.

Если Kerberos не настроен, то авторизация в VPN, связанная с Kerberos, будет недоступна.

LDAP

Данные полей вкладки синхронизируются с формой импорта из LDAP.

  1. Выберите LDAP-сервер: Active Directory либо FreeIPA.

    Внимание! Начиная с версии 8.4, пользователи, импортированные из FreeIPA, могут авторизоваться в веб-интерфейсе, на прокси-сервере (с использованием Kerberos) и почтовом сервере. Подключение по VPN таких пользователей на данный момент недоступно.
    Для импорта пользователей необходимо указать логин пользователя как DN пользователя в LDAP-каталоге (например, uid=admin,cn=users,cn=accounts,dc=ipa,dc=test).

  2.  Укажите:
    • IP-адрес контроллера домена;
    • имя домена;
    • логин и пароль пользователя домена (не обязательно администратора).
  3. При необходимости поставьте флаг «Secure LDAP» и выберите сертификат. Тогда между LDAP-сервером и ИКС будет установлен шифрованный канал.

    Выбираемый сертификат должен быть установлен на LDAP-сервере. При создании сертификата на ИКС укажите значения полей: «Тип сертификата»«Конечный сертификат», «Шаблон» — «Сервер».

  4. Нажмите «Сохранить» — служба синхронизации будет запущена. Если поля были заполнены некорректно, настройки не будут сохранены.

Внимание! В ИКС не хранятся пароли доменных пользователей. При попытке задать доменному пользователю пароль для него перестанет работать доменная авторизация — пользователь сможет авторизовываться на ИКС только по логину и паролю, заданным на ИКС.

Внимание! Чтобы избежать сложностей в совместимости с Microsoft, рекомендуется использовать LDAPS. При возникновении проблем с подключением к LDAPS импортированному сертификату необходимо установить параметр «Добавить в доверенные сертификаты».

О статье

Идентификатор статьи:
190
Рейтинг :

Меню

Связанные статьи