Агрегатор. Перечень параметров для добавления домена аутентификации MS AD (LDAP)

Перечень параметров для добавления домена аутентификации MS AD (LDAP)

Для добавления домена аутентификации следует перейти «Системные параметры - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «MS Active Directory (LDAP)». Далее заполнить данные, перечисленные в столбце «Параметр» следующей таблицы. Для проверки и сохранения параметров конфигурации нужно нажать экранную кнопку [Тест], затем [Создать].

Данные для добавления аутентификации MS AD

Параметр	Описание
«Название»	Текстовое наименование домена аутентификации
«Комментарий»	Информационное сообщение, используемое для описания назначения домена аутентификации
«Приоритет»	Преимущество использования домена аутентификации при проверке субъекта и его полномочий. Порядок отображения доменов зависит от приоритета домена и его наименования: чем ниже приоритет, тем выше домен в списке; при наличии доменов с одинаковым приоритетом действует сортировка по алфавиту
«Метка»	Информационное поле, используемое для идентификации объекта во внутренней структуре данных. Параметр используется для поиска аналогичного домена «Универсального диспетчера», поэтому должен быть одинаковым как на портале «Агрегатор» (при его использовании), так и на «Универсальном диспетчере». Поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание)
«Субъекты»	Выбор субъектов, для которых будет доступен домен аутентификации. Возможные значения: «Все» - домен аутентификации будет доступен как для пользователей, так и для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале администратора», «Портале пользователя», «Портале универсальном», и при подключении из компонента «Клиент»; «Администраторы и персонал» - домен аутентификации будет доступен только для администраторов и персонала. Такое значение выбирается, если домен аутентификации должен быть доступен только на «Портале администратора» или «Портале универсальном»; «Пользователи» - домен аутентификации будет доступен только для пользователей. Такое значение выбирается, если домен аутентификации должен быть доступен на «Портале пользователя», «Портале универсальном» или при подключении пользователя из компонента «Клиент»; «Система» - домен аутентификации не будет доступен ни для пользователей, ни для администраторов и персонала
«Сервер LDAP»	IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о субъектах и их полномочиях
«Порт»	TCP-порт, на котором запущена служба каталогов. Возможные стандартные значения: «389» (по умолчанию). Используется, если доступ к службе каталогов осуществляется по протоколу LDAP; «636». Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS; «3268». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAP; «3269». Альтернативный порт. Используется, если доступ к службе каталогов осуществляется по протоколу LDAPS. Для ускорения поиска пользователей в службе каталогов рекомендуется указывать альтернативный порт
«Использовать SSL»	Использовать защищенное соединение при взаимодействии со службой каталогов
«Путь к секретам»	Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «hvac». Путь к аутентификационным данным учетной записи, расположенным в хранилище. Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac». Пример: «hvac-kv://secret#termidesk-admin/msad/»
«Учетная запись»	Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». Учетная запись в формате Distinguished Name (DN) в домене MS AD (LDAP), используемая для подключения к службе каталогов. Пример: «CN=admin,OU=user,DC=test,DC=desk»
«Пароль учетной записи»	Параметр доступен, если на этапе установки Termidesk был выбран способ хранения паролей «config». Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов
«Время ожидания соединения, с»	Время ожидания (в секундах) ответа от службы каталогов. Значение по умолчанию: «10»
«Base DN»	Корень поиска в службе каталогов в формате DN. Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU). Вводимое значение не должно содержать пробелов: в начале и конце строки; рядом с разделителями (запятыми); в элементах пути (например, «DC=company name,DC=de»). Пример: «DC=test,DC=desk»
«Имя класса пользователя»	Атрибут класса пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «person»
«Атрибут идентификатора пользователя»	Атрибут уникального имени или идентификатора пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать: значение «name», если активирован параметр «Использовать PKINIT»; Атрибут идентификатора пользователя задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. значение «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»; значение «SamAccountName» в остальных случаях
«Список атрибутов пользователя»	Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми. Для корректного заполнения данного поля необходимо указать значение: «userPrincipalName», если в параметре «Формат имени пользователя для аутентификации» используется «userPrincipalName»; «name», если в параметре «Формат имени пользователя для аутентификации» используется «sAMAccountName»
«Формат имени пользователя для аутентификации»	Формат имени пользователя, заданный в службе каталогов. Если на пользовательской рабочей станции установлен компонент «Клиент» версии, младше 6.0, то он будет поддерживать только формат «sAMAccountName». Возможные значения: «sAMAccountName» (по умолчанию) - имя пользователя без доменной части; «userPrincipalName» - имя пользователя с доменной частью
«Имя атрибута группы»	Атрибут принадлежности к группе в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «group»
«Атрибут имени группы»	Атрибут идентификатора группы, к которой относится субъект в службе каталогов. Для корректного заполнения данного поля необходимо указать: значение «distinguishedname», если включены параметры «Использовать рекурсивный поиск групп» или «Использовать обратный порядок проверки членства пользователей»; значение «name», если активирован параметр «Использовать PKINIT»; Атрибут имени группы задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя. значение «cn» в остальных случаях. Если используется значение «distinguishedname», то при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно указывать длинные имена групп, например: «CN=RootGroup,CN=Users,DC=test,DC=desk». Если используется значение «cn», то нужно указывать короткие имена групп. Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена
«Атрибут членства в группе»	Идентификатор группы для назначения полномочий субъекту. Для корректного заполнения данного поля необходимо указать значение «member»
«Атрибут групп для LDAP-запросов»	Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory»
«Использовать рекурсивный поиск групп»	При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно. Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать. Возможные значения: «Да» - использовать рекурсивный поиск; «Нет» (по умолчанию) - не использовать рекурсивный поиск
«Использовать обратный порядок проверки членства пользователей»	Проверка соответствия членства пользователя в группах службы каталогов членству в группах домена аутентификации. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы». Этот параметр нужно включить при большом количестве групп непосредственно на службе каталогов MS AD. В этом случае сначала будет проверяться вхождение пользователя в группы домена аутентификации (в том числе рекурсивно), затем будет происходить проверка найденных групп в службе каталогов MS AD. При выключении этого параметра применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass» или «objectCategory». При включении этого параметра всегда применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass». Возможные значения: «Да» - использовать обратный порядок; «Нет» (по умолчанию) - не использовать обратный порядок
«Использовать PKINIT»	Использовать механизм аутентификации Kerberos PKINIT при аутентификации пользователя. PKINIT - механизм, позволяющий использовать сертификаты X.509 в качестве метода аутентификации. Предполагается, что механизм аутентификации Kerberos PKINIT настроен в инфраструктуре организации и пользователю выданы соответствующие сертификаты и ключи для подключения (персональный сертификат, закрытый ключ к нему и корневой сертификат ЦС, на котором выпущен персональный сертификат). При активации механизма аутентификации Kerberos PKINIT нужно указать актуальный порт в параметре «Порт PKINIT», а также указать нужные значения параметров «Атрибут имени группы» и «Атрибут идентификатора пользователя». Возможные значения: «Да» - использовать механизм; «Нет» (по умолчанию) - не использовать механизм
«Порт PKINIT»	TCP/UDP порт, на котором запущена служба Kerberos. Значение по умолчанию: «88»
«Использовать Kerberos»	Использовать механизм аутентификации по билету Kerberos. Предполагается, что механизм аутентификации по билету Kerberos настроен в инфраструктуре организации (cм. подразделы Получение и добавление файла keytab для Kerberos-аутентификации и Настройка пользовательской рабочей станции для Kerberos-аутентификации). Для работы аутентификации по билету Kerberos на терминальных серверах MS RDS, необходимо выполнить дополнительную настройку «Сессионного агента», задав значения параметрам `MASTER_KEY` и `URL_BALANCER` в его конфигурационном файле. Если используется аутентификация Kerberos, то нужно заполнить параметр «Путь до Keytab». Возможные значения: «Да» - использовать механизм; «Нет» (по умолчанию) - не использовать механизм
«Путь до Keytab»	Путь к файлу с ключами для сервисного аккаунта. В зависимости от места хранения файла следует указать путь в формате: в случае стандартного хранения файла: «/etc/opt/termidesk-vdi/termidesk.keytab»; в случае хранения файла в хранилище hvac: «hvac-kv://secret#termidesk-admin/keytabs/kerberos». Формат задания пути приведен в подразделе Хранение чувствительной информации с выбранным способом хранения «hvac». Если используется хранилище, то сгенерированный на контроллере домена `keytab`-файл должен быть преобразован к формату BASE64.