Конфигурируется только разрешение использования и порядок в списке аутентификаторов: тэги <enabled/> и <order/> в auth-ads.conf.
Принцип работы:
1.Администратор задает имя пользователя и пароль в одном из следующих форматов:
•username,
•domain\username,
•username@domain,
•LDAP DN пользователя.
2.Сервер регистрируется с этим именем и паролем на доменном контроллере по умолчанию (или доменном контроллере для домена, указанного в имени пользователя).
3.Если не удалось зарегистрироваться, осуществляется переход к следующему механизму аутентификации.
4.Определяется LDAP DN зарегистрированного пользователя.
5.У объекта с вычисленным DN читается атрибут DrWebAdmin. Если он установлен в FALSE – неуспех и переход к следующему механизму аутентификации.
6.Если на этом этапе какие-либо атрибуты не определены, их поиск осуществляется в группах, в которые входит данный пользователь. Для каждой группы просматриваются ее родительские группы (стратегия поиска – вглубь).
|
В случае любой ошибки осуществляется переход к следующему механизму аутентификации. |
Утилита drweb-11.00.2-<сборка>-esuite-modify-ad-schema-<версия_ОС>.exe (поставляется отдельно от дистрибутива Сервера) создает новый класс объектов DrWebEnterpriseUser для Active Directory и описывает новые атрибуты для данного класса.
Атрибуты имеют следующие OID в Enterprise пространстве:
DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise |
Редактирование свойств пользователей Active Directory осуществляется вручную на сервере Active Directory (см. в Руководстве администратора, в п. Аутентификация администраторов).
Назначение прав администраторам осуществляется согласно общему принципу наследования в иерархической структуре групп, в которые входит администратор.