C1. Аутентификация при использовании Active Directory |
Конфигурируется только разрешение использования и порядок в списке аутентификаторов: тэги <enabled/> и <order/> в auth-ads.conf. Принцип работы: 1.Администратор задает имя пользователя и пароль в одном из следующих форматов: •username, •domain\username, •username@domain, •LDAP DN пользователя. 2.Сервер регистрируется с этим именем и паролем на доменном контроллере по умолчанию (или доменном контроллере для домена, указанного в имени пользователя). 3.Если не удалось зарегистрироваться, осуществляется переход к следующему механизму аутентификации. 4.Определяется LDAP DN зарегистрированного пользователя. 5.У объекта с вычисленным DN читается атрибут DrWebAdmin. Если он установлен в FALSE – неуспех и переход к следующему механизму аутентификации. 6.Если на этом этапе какие-либо атрибуты не определены, их поиск осуществляется в группах, в которые входит данный пользователь. Для каждой группы просматриваются ее родительские группы (стратегия поиска – вглубь).
Утилита drweb-11.00.2-<сборка>-esuite-modify-ad-schema-<версия_ОС>.exe (поставляется отдельно от дистрибутива Сервера) создает новый класс объектов DrWebEnterpriseUser для Active Directory и описывает новые атрибуты для данного класса. Атрибуты имеют следующие OID в Enterprise пространстве:
Редактирование свойств пользователей Active Directory осуществляется вручную на сервере Active Directory (см. в , в п. Аутентификация администраторов). Назначение прав администраторам осуществляется согласно общему принципу наследования в иерархической структуре групп, в которые входит администратор. |