Добавление домена аутентификации Альт Домен в Termidesk

Для добавления домена аутентификации Альт Домен администратору Termidesk следует перейти «Компоненты - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «Альт Домен».

Затем необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Данные для добавления аутентификации через Альт Домен

ПараметрОписание
«Название»Текстовое наименование домена аутентификации
«Комментарий»Информационное сообщение, используемое для описания назначения домена аутентификации
«Приоритет»

Преимущество использования домена аутентификации при проверке субъекта и его полномочий.

Порядок отображения доменов зависит от приоритета домена и его наименования:

  • чем ниже приоритет, тем выше домен в списке;
  • при наличии доменов с одинаковым приоритетом действует сортировка по алфавиту
«Метка»

Информационное поле, используемое для идентификации объекта во внутренней структуре данных.

Параметр используется для поиска аналогичного домена «Универсального диспетчера», поэтому должен быть одинаковым как на портале «Агрегатор» (при его использовании),  так и на «Универсальном диспетчере».

Поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание)

«Субъекты»

Выбор субъектов, для которых будет доступен домен аутентификации. 

Возможные значения:

  • «Все» - домен аутентификации будет доступен как для пользователей, так и для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале администратора», «Портале пользователя», «Портале универсальном», и при подключении из компонента «Клиент»;
  • «Администраторы и персонал» - домен аутентификации будет доступен только для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен только на «Портале администратора» или «Портале универсальном»;
  • «Пользователи» - домен аутентификации будет доступен только для пользователей. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале пользователя», «Портале универсальном» или при подключении пользователя из компонента «Клиент»;
  • «Система» - домен аутентификации не будет доступен ни для пользователей, ни для администраторов и персонала
«Порталы»

Выбор порталов фермы Termidesk, для которых будет доступен домен аутентификации. Если портал не выбран, то домен аутентификации не будет доступен для него.

В списке доступных значений отображаются все узлы со страницы «Инфраструктура - Порталы» с их полным доменным именем.

Администратору нужно выбирать узел в соответствии со значением, указанным в параметре «Субъекты».

Примеры:

  • если в параметре «Субъекты» указано «Пользователи», то в параметре «Порталы» должен быть выбран узел, соответствующий либо «Порталу пользователя», либо «Порталу универсальному»;
  • если в параметре «Субъекты» указано «Администраторы и персонал», в параметре «Порталы» должен быть выбран узел, соответствующий либо «Порталу администратора», либо «Порталу универсальному»;
  • если в параметре «Субъекты» указано «Все», то в параметре «Порталы» может быть выбран узел, соответствующий либо «Порталу пользователя», либо «Порталу администратора», либо «Порталу универсальному». Значение выбирается исходя из потребностей в разделении доменов аутентификации для того или иного субъекта.

При изменении списка узлов на странице «Инфраструктура - Порталы»:

  • если узел удален, то он автоматически удалится из списка доступных значений для этого параметра. Уже назначенное значение удалится из свойств домена аутентификации;
  • если узел добавлен, то он автоматически добавится в список доступных значений для этого параметра, но не будет автоматически выбран для использования.

В случае, если в параметре «Порталы» был указан единственный узел, который затем был удален из «Инфраструктура - Порталы», то этот домен аутентификации не будет доступен ни в каком из порталов.

Для выбора всех порталов используется значение «Все»

«Сервер LDAP»IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о субъектах и их полномочиях
«Порт»

TCP-порт, на котором запущена служба каталогов.

Возможные стандартные значения:

  • «389» (по умолчанию). Используется, если доступ к службе каталогов осуществляется по протоколу LDAP;
  • «636». Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS;
  • «3268». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAP;
  • «3269». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS.

Для ускорения поиска пользователей в службе каталогов рекомендуется указывать альтернативный порт

«Использовать SSL»Использовать защищенное соединение при взаимодействии со службой каталогов
«Путь к секретам»

Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «hvac».

Путь к аутентификационным данным учетной записи, расположенным в хранилище. Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac».

Пример: «hvac-kv://secret#termidesk-admin/msad/»

«Учётная запись»

Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config».

Учетная запись в формате Distinguished Name (DN) в службе каталогов, используемая для подключения к службе каталогов.

Пример: «CN=admin,OU=user,DC=test,DC=desk»

«Пароль учётной записи»

Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config».

Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов

«Время ожидания соединения, с»

Время ожидания (в секундах) ответа от службы каталогов.

Значение по умолчанию: «10»

«Корень поиска»

Корень поиска в службе каталогов в формате DN. Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU).

Вводимое значение не должно содержать пробелов:

  • в начале и конце строки;
  • рядом с разделителями (запятыми);
  • в элементах пути (например, «DC=company name,DC=de»).

Пример: «DC=test,DC=desk»

«Имя класса пользователя»

Атрибут класса пользователя в службе каталогов.

Для корректного заполнения данного поля необходимо указать значение «person»

«Атрибут идентификатора пользователя»

Атрибут уникального имени или идентификатора пользователя в службе каталогов.

Для корректного заполнения данного поля необходимо указать:

  • значение «name», если активирован параметр «Использовать PKINIT»;

Атрибут идентификатора пользователя задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя.

  • значение «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»;
  • значение «SamAccountName» в остальных случаях
«Список атрибутов пользователя»

Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми.

Для корректного заполнения данного поля необходимо указать значение:

  • «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»;
  • «name», если в параметре «Формат имени пользователя для аутентификации» используется «sAMAccountName»
«Формат имени пользователя для аутентификации»

Формат имени пользователя, заданный в службе каталогов.

Если на пользовательской рабочей станции установлен компонент «Клиент» версии, младше 6.0, то он будет поддерживать только формат «sAMAccountName».

Возможные значения:

  • «sAMAccountName» (по умолчанию) - имя пользователя без доменной части;
  • «userPrincipalName» - имя пользователя с доменной частью
«Имя атрибута группы»

Атрибут принадлежности к группе в службе каталогов.

Для корректного заполнения данного поля необходимо указать значение «group»

«Атрибут имени группы»

Атрибут идентификатора группы, к которой относится субъект в службе каталогов.

Для корректного заполнения данного поля необходимо указать:

  • значение «distinguishedname», если включены параметры «Использовать рекурсивный поиск групп» или «Использовать обратный порядок проверки членства пользователей»;
  • значение «name», если активирован параметр «Использовать PKINIT»;

Атрибут имени группы задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. 

  • значение «cn» в остальных случаях.

Если используется значение «distinguishedname», то при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно указывать длинные имена групп, например: «CN=RootGroup,CN=Users,DC=test,DC=desk». Если используется значение «cn», то нужно указывать короткие имена групп.

Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена

«Атрибут членства в группе»

Идентификатор группы для назначения полномочий субъекту.

Для корректного заполнения данного поля необходимо указать значение «member»

«Атрибут групп для LDAP-запросов»Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory»
«Время хранения дополнительных атрибутов учетной записи пользователей, сут»

Срок хранения (в сутках) дополнительных атрибутов учетной записи пользователей в БД. При наступлении срока данные будут очищены.

Возможные значения:

  • «0» (по умолчанию)  - не хранить дополнительные атрибуты;
  • числовое значение - хранить дополнительные атрибуты на протяжении заданного срока
«Использовать рекурсивный поиск групп»

При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно.

Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать.

Возможные значения:

  • «Да» - использовать рекурсивный поиск;
  • «Нет» (по умолчанию) - не использовать рекурсивный поиск
«Использовать обратный порядок проверки членства пользователей»

Проверка соответствия членства пользователя в группах службы каталогов членству в группах домена аутентификации. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы».

Этот параметр нужно включить при большом количестве групп непосредственно на службе каталогов. В этом случае сначала будет проверяться вхождение пользователя в группы домена аутентификации (в том числе рекурсивно), затем будет происходить проверка найденных групп в службе каталогов.

При выключении этого параметра применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass» или «objectCategory».

При включении этого параметра всегда применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass».

Возможные значения:

  • «Да» - использовать обратный порядок;
  • «Нет» (по умолчанию) - не использовать обратный порядок
«Метадомен аутентификации»

Выбор метадомена аутентификации, в который будет входить добавляемый домен.

Метадомен аутентификации должен быть предварительно создан (см. подраздел Добавление метадомена аутентификации)

«Динамическая проверка членства пользователя в группах»

Параметр доступен в новом интерфейсе.

Управление динамической проверкой вхождения пользователя в группу службы каталогов.

Параметр определяет, как будет происходить проверка нахождения пользователя в группе службы каталогов при аутентификации в Termidesk и получении ресурсов.

Особенности функционирования:

  • если пользователю уже назначено РМ, то проверяется вхождение пользователя в группу, указанную в свойствах фонда РМ. Проверка выполняется каждый раз при доступе к ресурсу. При этом если у пользователя отозваны права на доступ, то он:
    • либо не увидит скрытый ресурс в зависимости от настройки «Скрывать недоступные ресурсы»;
    • либо увидит, но не сможет получить доступ к нему;
    • либо получит доступ к назначенному РМ, если права доступа были назначены на другую группу, в которую входит пользователь и которая указана в свойствах фонда РМ;
    • либо получит доступ к назначенному РМ, если оно назначено на учетную запись пользователя напрямую.

Возможные значения:

  • «Режим совместимости 6.0» (по умолчанию) - при аутентификации пользователя происходит запрос к службе каталогов для проверки его вхождения в группы. После этого группы пользователя актуализируются в БД.  При попытке получить ресурс из фонда доступ определяется на основе информации из БД (БД не обновляется);
  • «Периодическое обновление» - если пользователя нет в БД и он впервые аутентифицируется, то происходит запрос к службе каталогов для получения актуальной информации о нем. Если пользователь есть в БД, то информация берется из нее. Актуализация пользователей и групп для всех доменов аутентификации с этим значением выполняется периодической фоновой задачей раз в 24 часа;
  • «Динамическая проверка» - при аутентификации пользователя или получении ресурсов происходит запрос к службе каталогов для получения актуальной информации о нем. При обращении к службе каталогов информация о полученных группах кешируется во внутренней памяти. Время кеширования определяется системным параметром «Таймаут кеша хранения групп домена, с»