Аутентификация с использованием LDAP

Данный раздел доступен для настройки через Центр управления только при обновлении Сервера Dr.Web с предыдущей версии. После отключения данного типа аутентификации ее раздел будет исключен из настроек Центра управления.

При первичной установке Сервера Dr.Web данный раздел недоступен.

Настройка аутентификации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер Dr.Web под ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.

В отличие от Active Directory, механизм можно настроить на любую схему LDAP. По умолчанию осуществляется попытка использования атрибутов Dr.Web Enterprise Security Suite, как они определены для Active Directory.

Чтобы включить аутентификацию через LDAP

1.В главном меню Центра управления выберите пункт Администрирование, затем в управляющем меню выберите раздел Аутентификация → LDAP-аутентификация.

2.Установите флаг Использовать LDAP-аутентификацию.

3.Нажмите кнопку Сохранить.

4.Для принятия изменений перезагрузите Сервер Dr.Web.

Настройки LDAP-аутентификации сохраняются в файле конфигурации auth-ldap.conf.

Описание конфигурационного файла приведено в документе Приложения, Б2. Аутентификация при использовании LDAP.

Процесс аутентификации LDAP сводится к следующему:

1.Адрес LDAP-сервера задается через Центр управления или в конфигурационном XML-файле.

2.Для заданного имени пользователя выполняются следующие действия:

Осуществляется трансляция имени в DN (Distinguished Name) с использованием DOS-подобных масок (с использованием символа *), если правила заданы.

Осуществляется трансляция имени в DN с использованием регулярных выражений, если правила заданы.

Используется пользовательский скрипт трансляции имен в DN, если он задан в настройках.

Если не подошло ни одно из правил преобразования, заданное имя используется как есть.

Формат задания имени пользователя никак не определяется и не фиксируется — он может быть таким, как это принято в данной организации, т. е. принудительная модификация схемы LDAP не требуется. Преобразование под данную схему осуществляется с использованием правил трансляции имен в LDAP DN.

3.После трансляции, как и в случае с Active Directory, с помощью полученного DN и введенного пароля осуществляется попытка регистрации данного пользователя на указанном LDAP-сервере.

4.Затем, так же как и в Active Directory, читаются атрибуты LDAP-объекта для полученного DN. Атрибуты и их возможные значения могут быть переопределены в конфигурационном файле.

5.Если остались неопределенные значения атрибутов администратора, то в случае задания наследования (в конфигурационном файле) поиск нужных атрибутов по группам, в которые входит пользователь, ведется так же, как в случае с использованием Active Directory.