C1. Authentifizierung über Active Directory

Bei der Verwendung von Active Directory können Sie nur die Authentifizierungsmethode aktivieren bzw. deaktivieren und die Reihenfolge von Authentifizierern ändern: Dazu dienen die Tags <enabled/> und <order/> in der Konfigurationsdatei auth-ads.conf.

Funktionsweise:

1.Der Administrator legt den Benutzernamen und das Passwort in einem der folgenden Formate fest:

username

domain\username

username@domain

LDAP DN des Benutzers

2.Der Dr.Web Server wird mit diesem Namen und diesem Passwort auf dem Standarddomänencontroller (oder auf dem Domänencontroller für die Domäne, die im Benutzernamen angegeben wurde) registriert.

3.Wenn die Registrierung fehlgeschlagen ist, wird der nächste Authentifizierungsmechanismus verwendet.

4.LDAP DN des registrierten Benutzers wird ermittelt.

5.Beim Objekt mit dem ermittelten DN wird das Attribut DrWeb_Admin gelesen. Wenn es den Wert FALSE hat, wird davon ausgegangen, dass die Authentifizierung fehlgeschlagen ist. In diesem Fall wird der nächste Authentifizierungsmechanismus verwendet.

6.Wenn in diesem Schritt einige Attribute nicht ermittelt wurden, werden sie in den Gruppen, denen der Benutzer angehört, gesucht. Bei jeder Gruppe werden ihre übergeordneten Gruppen durchsucht (Suche in die Tiefe).

Bei einem Fehler wird es mit dem nächsten Authentifizierungsmechanismus versucht.

Das Dienstprogramm drweb-13.00.0-<Build>-esuite-modify-ad-schema-<Betriebssystem-Version>.exe (gehört nicht zum Distributionsumfang des Dr.Web Servers) erstellt eine neue Objektklasse DrWebEnterpriseUser für Active Directory und beschreibt neue Attribute für diese Klasse.

Attribute haben die folgenden OIDs in der Enterprise-Umgebung:

DrWeb_enterprise_OID "1.3.6.1.4.1" // iso.org.dod.internet.private.enterprise
DrWeb_DrWeb_OID DrWeb_enterprise_OID ".29690" // DrWeb
DrWeb_EnterpriseSuite_OID DrWeb_DrWeb_OID ".1" // EnterpriseSuite
DrWeb_Alerts_OID DrWeb_EnterpriseSuite_OID ".1" // Alerts
DrWeb_Vars_OID DrWeb_EnterpriseSuite_OID ".2" // Vars
DrWeb_AdminAttrs_OID DrWeb_EnterpriseSuite_OID ".3" // AdminAttrs
 
// 1.3.6.1.4.1.29690.1.3.1 (AKA iso.org.dod.internet.private.enterprise.DrWeb.EnterpriseSuite.AdminAttrs.Admin)
 
DrWeb_Admin_OID DrWeb_AdminAttrs_OID ".1" // R/W admin
DrWeb_AdminReadOnly_OID DrWeb_AdminAttrs_OID ".2" // R/O admin
DrWeb_AdminGroupOnly_OID DrWeb_AdminAttrs_OID ".3" // Group admin
DrWeb_AdminGroup_OID DrWeb_AdminAttrs_OID ".4" // Admin's group
DrWeb_Admin_AttrName "DrWebAdmin"
DrWeb_AdminReadOnly_AttrName "DrWebAdminReadOnly"
DrWeb_AdminGroupOnly_AttrName "DrWebAdminGroupOnly"
DrWeb_AdminGroup_AttrName "DrWebAdminGroup"

Die Eigenschaften der Benutzer von Active Directory werden manuell auf dem Server von Active Directory bearbeitet (mehr dazu finden Sie im Dokument Administratorhandbuch unter Administrator-Authentifizierung).

Rechte werden den Administratoren nach dem allgemeinen Vererbungsprinzip in der Hierarchie der Gruppen, zu denen der Administrator gehört, zugewiesen.