Аутентификация с использованием LDAP/AD

Аутентификация с использованием LDAP/AD доступна для Серверов Dr.Web на всех поддерживаемых ОС. Настройка доступа к Серверу Dr.Web для пользователей по соответствующим атрибутам Active Directory осуществляется через Центр управления. Непосредственный доступ к контроллеру домена и оснастке Active Directory не требуется — дополнительная настройка со стороны Active Directory не осуществляется.

Настройка аутентификации с использованием LDAP-протокола возможна на любом LDAP-сервере. Также с использованием этого механизма можно настроить Сервер Dr.Web под ОС семейства UNIX для аутентификации в Active Directory на доменном контроллере.

Чтобы настроить и включить аутентификацию через LDAP/AD

1.В главном меню Центра управления выберите пункт Администрирование, затем в управляющем меню выберите раздел Аутентификация → LDAP/AD-аутентификация.

2.Установите флаг Использовать LDAP/AD-аутентификацию.

3.При необходимости установите флаг Разрешать подключение только по HTTPS, чтобы запретить подключение к Серверу Dr.Web с использованием LDAP/AD-аутентификации через незащищенное HTTP-соединение.

В разделе предоставляется возможность переключения между упрощенным и расширенным вариантами настроек аутентификации через LDAP/AD.

•Выберите Тип сервера: LDAP или Microsoft Active Directory.

•Задайте настройки соединения с LDAP-сервером:

▫Защита соединения — метод шифрования передаваемых данных: STARTTLS, SSL/TLS или без шифрования.

▫Адрес сервера — адрес LDAP-сервера. Если поле не заполнено, для Сервера Dr.Web под ОС Windows используется адрес доменного контроллера, для Сервера Dr.Web под управлением ОС семейства UNIX — адрес 127.0.0.1.

▫Файл корневого сертификата (только для Сервера Dr.Web под ОС семейства UNIX) — файл корневого сертификата LDAP-сервера, необходимый для валидации LDAP-сервера при передаче зашифрованных данных. Нажмите на

справа от поля, чтобы выбрать один из доступных сертификатов.

С помощью кнопки

вы можете добавить дополнительные LDAP-серверы. Первый из указанных серверов будет считаться главным; в случае его недоступности для аутентификации будет использован следующий по очередности сервер.

•Задайте шаблоны, которым должны соответствовать имена пользователей:

▫Маска учетной записи — маска учетной записи пользователя с использованием DOS-образных символов подстановки * и #. * заменяет последовательность любых символов, кроме . , = @ \ и пробелов; # заменяет последовательность любых символов.

Например: *\*, если учетная запись пользователя задается в формате <домен>\<пользователь>.

▫Имя пользователя — конкретное значение или порядковая позиция подстановки значения * или # в маске (позиция указывается в формате \<номер_позиции>).

Например: \2, если учетная запись пользователя задается в формате <домен>\<пользователь> (имя пользователя заменяет второй символ * в маске).

С помощью кнопки

вы можете добавить дополнительные шаблоны.

•Задайте условия, которым должно соответствовать членство пользователей. Для этого в поле Название укажите имя группы Active Directory, в которую должны входить пользователи.

С помощью кнопки

вы можете добавить дополнительные условия членства пользователей в группах. В этом случае также выберите Логическое объединение для заданных условий: И, если должны выполняться все заданные условия; ИЛИ, если должно выполняться любое из условий.

Пример с использованием типовых настроек приведен в документе Приложения, в конце раздела Б3. Аутентификация при использовании LDAP/AD.

•Задайте настройки соединения с LDAP-сервером:

▫Защита соединения — метод шифрования передаваемых данных: STARTTLS, SSL/TLS или без шифрования.

▫Сервер LDAP — адрес LDAP-сервера. Если поле не заполнено, для Сервера Dr.Web под ОС Windows используется адрес доменного контроллера, для Сервера Dr.Web под управлением ОС семейства UNIX — адрес 127.0.0.1.

▫Область поиска — глубина поиска в каталоге LDAP: только базовое DN, прямые потомки базового DN или вся область ниже базового DN (значение по умолчанию).

▫Базовое DN — корневой объект в каталоге LDAP, от которого ведется поиск данных.

справа от поля, чтобы выбрать один из доступных сертификатов.

С помощью кнопки

▫Имя переменной — переменная, используемая для хранения полученных при поиске данных. Должна начинаться с буквы и содержать только буквы и цифры. Может использоваться в полях Строка, добавляемая к фильтру в подразделах ниже (в подразделе Фильтр поиска в LDAP — в формате \<переменная>).

▫Базовое DN — корневой объект в каталоге LDAP, от которого ведется поиск данных. Если значение не указано, используется значение поля Базовое DN из подраздела Настройки соединения.

▫Фильтр поиска — фильтр поиска в LDAP в формате, описанном в RFC 4515, для определения значения переменной.

▫Имя атрибута — имя атрибута, по которому выполняется поиск.

▫Базовое DN: не задано (используется Базовое DN из настроек соединения)

▫Область поиска: вся область ниже базового DN

Будет выполняться поиск по атрибуту dn во всей области ниже базового DN с фильтром &(objectClass=group)(cn=ESuite Admin) (группа с именем ESuite Admin); результат поиска будет значением переменной admingrp1.

С помощью кнопки

вы можете добавить дополнительные переменные и настройки поиска.

Если поиск возвращает несколько найденных объектов, то используется только первый из них.

•Задайте шаблоны, которым должны соответствовать имена пользователей. В шаблонах могут использоваться DOS-подобные маски или регулярные выражения:

▫Маска учетной записи — маска учетной записи пользователя. В подразделе Шаблоны имени пользователя маска задается с использованием DOS-образных символов подстановки * и #, где * заменяет последовательность любых символов, кроме . , = @ \ и пробелов; # заменяет последовательность любых символов. В подразделе Шаблоны имени пользователя с использованием регулярных выражений маска задается с использованием регулярных выражений.

▫Строка, добавляемая к фильтру — условия поиска данных, определяемых маской.

▫Маска учетной записи: *@# (с использованием DOS-образных символов подстановки) или ^(.*)@([^.,=@\s\\]+)$ (эквивалент с использованием регулярных выражений)

Будет выполняться поиск с фильтром по уникальному идентификатору пользователя (UID), соответствующему имени пользователя, указанному до символа @ (согласно маске).

С помощью кнопки

вы можете добавить дополнительные маски и строки для фильтра поиска.

•Задайте настройки фильтра поиска в LDAP. Для этого в поле Строка, добавляемая к фильтру задайте условия поиска объекта (пользователя) с указанными значениями атрибутов в LDAP. В строке могут использоваться переменные, определенные выше, в формате \<переменная>.

Строка, добавляемая к фильтру: &(objectClass=user)(memberOf=\admingrp1)

Будет выполняться поиск с фильтром &(objectClass=user)(memberOf=\admingrp1), что соответствует пользователю, являющемуся членом группы, определенной в переменной admingrp1 выше.

Удачным считается поиск, в результате которого нашелся ровно один объект с заданными параметрами.

6.Для принятия изменений перезагрузите Сервер Dr.Web.

Для настройки параметров LDAP/AD-аутентификации также может использоваться конфигурационный файл auth-ldap-rfc4515.conf, расположенный в каталоге etc Сервера Dr.Web. Конфигурационный файл содержит ряд дополнительных параметров, недоступных для редактирования в Центре управления.

Также предоставляются конфигурационные файлы с типовыми настройками:

•auth-ldap-rfc4515-check-group.conf — шаблон конфигурационного файла внешней авторизации администраторов через LDAP по упрощенной схеме с проверкой принадлежности к группе Active Directory.

•auth-ldap-rfc4515-check-group-novar.conf — шаблон конфигурационного файла внешней авторизации администраторов через LDAP по упрощенной схеме с проверкой принадлежности к группе Active Directory с использованием переменных.

•auth-ldap-rfc4515-simple-login.conf — шаблон конфигурационного файла внешней авторизации администраторов через LDAP по упрощенной схеме.

Если используется LDAP-сервер, отличный от Microsoft Active Directory, то рекомендуется настроить правила трансляции имен пользователей в DN в конфигурационном файле auth-ldap-rfc4515.conf в соответствии с RFC4515 при помощи параметров <user-dn-extension-enabled/>, <user-dn/>, <user-dn-expr/>.

Если у авторизуемого пользователя отсутствуют права на поиск на LDAP-сервере, то в параметре <bind dn/> можно настроить DN и пароль пользователя LDAP-сервера с правами чтения, от имени которого на LDAP-сервере будет осуществляться поиск данных авторизуемого пользователя.

Описание указанных параметров приведено в документе Приложения, Б3. Аутентификация при использовании LDAP/AD.

Особенности настройки при наличии леса доменов (корневого и дочернего доменов)

При необходимости аутентификации не только в корневом домене Active Directory, но также и в его дочерних доменах, нужно, чтобы в группе доступа в корневом домене находились пользователи из всех дочерних доменов. Тип данной группы доступа в Active Directory должен быть Universal.

Также следует убедиться, что у корневого домена включена опция Global Catalog в NTDS Settings (если эта опция включена, то порт 3268 будет прослушиваться). В настройках аутентификации в Центре управления Сервера Dr.Web следует указывать только корневой домен и номер порта Global Catalog (по умолчанию 3268). В конфигурационном файле для данного случая значение атрибута host будет иметь следующий вид: host='example.srv:3268'.

Для того чтобы при аутентификации под учетной записью из дочернего домена не вводить полное имя с доменом, следует настроить тег <bind dn/>, описание которого приведено в документе Приложения, Б3. Аутентификация при использовании LDAP/AD.