C1. Аутентификация при использовании Active Directory

На главную  Назад  Вперед

Конфигурируется только разрешение использования и порядок в списке аутентификаторов: тэги <enabled/> и <order/> в auth-ads.xml.

Принцип работы:

1.Администратор задает имя пользователя и пароль в одном из следующих форматов:

username,

domain\username,

username@domain,

LDAP DN пользователя.

2.Сервер регистрируется с этим именем и паролем на доменном контроллере по умолчанию (или доменном контроллере для домена, указанного в имени пользователя).

3.Если не удалось зарегистрироваться, осуществляется переход к следующему механизму аутентификации.

4.Определяется LDAP DN зарегистрированного пользователя.

5.У объекта с вычисленным DN читается атрибут DrWebAdmin. Если он установлен в FALSE – неуспех и переход к следующему механизму аутентификации.

6.Если на этом этапе какие-либо атрибуты не определены, их поиск осуществляется в группах, в которые входит данный пользователь. Для каждой группы просматриваются ее родительские группы (стратегия поиска – вглубь).

В случае любой ошибки осуществляется переход к следующему механизму аутентификации.

Утилита drweb-esuite-modify-ad-schema-xxxxxxxxxххххх-windows-nt-xYY.exe (поставляется отдельно от дистрибутива Сервера) создает новый класс объектов DrWebEnterpriseUser для Active Directory и описывает новые атрибуты для данного класса.

Атрибуты имеют следующие OID в Enterprise пространстве:

DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise
DrWeb_DrWeb_OID DrWeb_enterprise_OID ".29690" // DrWeb
DrWeb_EnterpriseSuite_OID DrWeb_DrWeb_OID ".1" // EnterpriseSuite
DrWeb_Alerts_OID DrWeb_EnterpriseSuite_OID ".1" // Alerts
DrWeb_Vars_OID DrWeb_EnterpriseSuite_OID ".2" // Vars
DrWeb_AdminAttrs_OID DrWeb_EnterpriseSuite_OID ".3" // AdminAttrs
 
// 1.3.6.1.4.1.29690.1.3.1 (AKA iso.org.dod.internet.private.enterprise.DrWeb.EnterpriseSuite.AdminAttrs.Admin)
 
DrWeb_Admin_OID DrWeb_AdminAttrs_OID ".1" // R/W admin
DrWeb_AdminReadOnly_OID DrWeb_AdminAttrs_OID ".2" // R/O admin
DrWeb_AdminGroupOnly_OID DrWeb_AdminAttrs_OID ".3" // Group admin
DrWeb_AdminGroup_OID DrWeb_AdminAttrs_OID ".4" // Admin's group
DrWeb_Admin_AttrName "DrWebAdmin"
DrWeb_AdminReadOnly_AttrName "DrWebAdminReadOnly"
DrWeb_AdminGroupOnly_AttrName "DrWebAdminGroupOnly"
DrWeb_AdminGroup_AttrName "DrWebAdminGroup"

Редактирование свойств пользователей Active Directory осуществляется вручную на сервере Active Directory (см. в Руководстве администратора, в п. Аутентификация администраторов).

Назначение прав администраторам осуществляется согласно общему принципу наследования в иерархической структуре групп, в которые входит администратор.