| Параметр | Описание |
|---|
| «Название» | Текстовое наименование домена аутентификации |
| «Комментарий» | Информационное сообщение, используемое для описания назначения домена аутентификации |
| «Приоритет» | Преимущество использования домена аутентификации при проверке субъекта и его полномочий. Порядок отображения доменов зависит от приоритета домена и его наименования: - чем ниже приоритет, тем выше домен в списке;
- при наличии доменов с одинаковым приоритетом действует сортировка по алфавиту
|
| «Метка» | Информационное поле, используемое для идентификации объекта во внутренней структуре данных. Параметр используется для поиска аналогичного домена «Универсального диспетчера», поэтому должен быть одинаковым как на портале «Агрегатор» (при его использовании), так и на «Универсальном диспетчере». Поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание) |
| «Субъекты» | Выбор субъектов, для которых будет доступен домен аутентификации. Возможные значения: - «Все» - домен аутентификации будет доступен как для пользователей, так и для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале администратора», «Портале пользователя», «Портале универсальном», и при подключении из компонента «Клиент»;
- «Администраторы и персонал» - домен аутентификации будет доступен только для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен только на «Портале администратора» или «Портале универсальном»;
- «Пользователи» - домен аутентификации будет доступен только для пользователей. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале пользователя», «Портале универсальном» или при подключении пользователя из компонента «Клиент»;
- «Система» - домен аутентификации не будет доступен ни для пользователей, ни для администраторов и персонала
|
| «Сервер LDAP» | IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о субъектах и их полномочиях |
| «Порт» | TCP-порт, на котором запущена служба каталогов. Возможные стандартные значения: - «389» (по умолчанию). Используется, если доступ к службе каталогов осуществляется по протоколу LDAP;
- «636». Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS;
- «3268». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAP;
- «3269». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS.
Для ускорения поиска пользователей в службе каталогов рекомендуется указывать альтернативный порт |
| «Использовать SSL» | Использовать защищенное соединение при взаимодействии со службой каталогов |
| «Путь к секретам» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «hvac». |
Путь к аутентификационным данным учетной записи, расположенным в хранилище. Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac». Пример: «hvac-kv://secret#termidesk-admin/msad/» |
| «Учетная запись» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». |
Учетная запись в формате Distinguished Name (DN) в домене MS AD (LDAP), используемая для подключения к службе каталогов. Пример: «CN=admin,OU=user,DC=test,DC=desk» |
| «Пароль учетной записи» | Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». |
Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов |
| «Время ожидания соединения, с» | Время ожидания (в секундах) ответа от службы каталогов. Значение по умолчанию: «10» |
| «Base DN» | Корень поиска в службе каталогов в формате DN. Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU). Вводимое значение не должно содержать пробелов: - в начале и конце строки;
- рядом с разделителями (запятыми);
- в элементах пути (например, «DC=company name,DC=de»).
Пример: «DC=test,DC=desk» |
| «Имя класса пользователя» | Атрибут класса пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «person» |
| «Атрибут идентификатора пользователя» | Атрибут уникального имени или идентификатора пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать: - значение «name», если активирован параметр «Использовать PKINIT»;
Атрибут идентификатора пользователя задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. |
- значение «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»;
- значение «SamAccountName» в остальных случаях
|
| «Список атрибутов пользователя» | Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми. Для корректного заполнения данного поля необходимо указать значение: - «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»;
- «name», если в параметре «Формат имени пользователя для аутентификации» используется «sAMAccountName»
|
| «Формат имени пользователя для аутентификации» | Формат имени пользователя, заданный в службе каталогов. Если на пользовательской рабочей станции установлен компонент «Клиент» версии, младше 6.0, то он будет поддерживать только формат «sAMAccountName». |
Возможные значения: - «sAMAccountName» (по умолчанию) - имя пользователя без доменной части;
- «userPrincipalName» - имя пользователя с доменной частью
|
| «Имя атрибута группы» | Атрибут принадлежности к группе в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «group» |
| «Атрибут имени группы» | Атрибут идентификатора группы, к которой относится субъект в службе каталогов. Для корректного заполнения данного поля необходимо указать: - значение «distinguishedname», если включены параметры «Использовать рекурсивный поиск групп» или «Использовать обратный порядок проверки членства пользователей»;
- значение «name», если активирован параметр «Использовать PKINIT»;
Атрибут имени группы задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. |
- значение «cn» в остальных случаях.
Если используется значение «distinguishedname», то при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно указывать длинные имена групп, например: «CN=RootGroup,CN=Users,DC=test,DC=desk». Если используется значение «cn», то нужно указывать короткие имена групп. Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена |
| «Атрибут членства в группе» | Идентификатор группы для назначения полномочий субъекту. Для корректного заполнения данного поля необходимо указать значение «member» |
| «Атрибут групп для LDAP-запросов» | Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory» |
| «Использовать рекурсивный поиск групп» | При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно. Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать. Возможные значения: - «Да» - использовать рекурсивный поиск;
- «Нет» (по умолчанию) - не использовать рекурсивный поиск
|
| «Использовать обратный порядок проверки членства пользователей» | Проверка соответствия членства пользователя в группах службы каталогов членству в группах домена аутентификации. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы». Этот параметр нужно включить при большом количестве групп непосредственно на службе каталогов MS AD. В этом случае сначала будет проверяться вхождение пользователя в группы домена аутентификации (в том числе рекурсивно), затем будет происходить проверка найденных групп в службе каталогов MS AD. При выключении этого параметра применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass» или «objectCategory». При включении этого параметра всегда применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass». Возможные значения: - «Да» - использовать обратный порядок;
- «Нет» (по умолчанию) - не использовать обратный порядок
|
| «Использовать PKINIT» | Использовать механизм аутентификации Kerberos PKINIT при аутентификации пользователя. PKINIT - механизм, позволяющий использовать сертификаты X.509 в качестве метода аутентификации. Предполагается, что механизм аутентификации Kerberos PKINIT настроен в инфраструктуре организации и пользователю выданы соответствующие сертификаты и ключи для подключения (персональный сертификат, закрытый ключ к нему и корневой сертификат ЦС, на котором выпущен персональный сертификат). При активации механизма аутентификации Kerberos PKINIT нужно указать актуальный порт в параметре «Порт PKINIT», а также указать нужные значения параметров «Атрибут имени группы» и «Атрибут идентификатора пользователя». Возможные значения: - «Да» - использовать механизм;
- «Нет» (по умолчанию) - не использовать механизм
|
| «Порт PKINIT» | TCP/UDP порт, на котором запущена служба Kerberos. Значение по умолчанию: «88» |
| «Использовать Kerberos» | Использовать механизм аутентификации по билету Kerberos. Предполагается, что механизм аутентификации по билету Kerberos настроен в инфраструктуре организации (cм. подразделы Получение и добавление файла keytab для Kerberos-аутентификации и Настройка пользовательской рабочей станции для Kerberos-аутентификации). Для работы аутентификации по билету Kerberos на терминальных серверах MS RDS, необходимо выполнить дополнительную настройку «Сессионного агента», задав значения параметрам MASTER_KEY и URL_BALANCER в его конфигурационном файле. |
Если используется аутентификация Kerberos, то нужно заполнить параметр «Путь до Keytab». Возможные значения: - «Да» - использовать механизм;
- «Нет» (по умолчанию) - не использовать механизм
|
| «Путь до Keytab» | Путь к файлу с ключами для сервисного аккаунта. В зависимости от места хранения файла следует указать путь в формате: Если используется хранилище, то сгенерированный на контроллере домена keytab-файл должен быть преобразован к формату BASE64. |
|