Graude-msk.ru

Ремонт бытовой техники
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка модуля ADSync

Настройка модуля ADSync

Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.

С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:

  1. Учетные записи пользователей
  2. Атрибуты пользователей, синхронизируемые модулем ADSync:
  • Address
  • BusinessPhone
  • City
  • Company
  • Country
  • Department
  • Description
  • DirectManager
  • DisplayName
  • Fax
  • Email
  • FirstName
  • HomePhone
  • Initials
  • JobTitle
  • LastName
  • MobilePhone
  • Notes
  • OfficeLocation
  • Pager
  • proxyAddresses ‘[EUM addresses Only]’
  • sAMAccountName
  • State
  • UserPrincipalName
  • wWWHomePage
  • ZipCode
  • Password

Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.

Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.

Ограничения при использовании модуля ADSync

Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:

  • Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
  • Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
  • После установки агента необходима перезагрузка контроллера домена
  • Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
  • После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
  • Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
  • Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
  • Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory

Установка модуля ADSync

  1. Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)
    https://www.microsoft.com/en-US/Download/confirmation.aspx?id=14632

  • При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
  • При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».

Выбрать путь для установки:

Проверить настройки введеные на прошлых шагах:

Подтвердить завершение установки:

Конфигурация модуля ADSync

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:

Заполните предложенные поля:

Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx

Admin Login: Административная учетная запись в локальном каталоге Active Directory

Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

Admin Password: Пароль администратора

Domain Netbios Name: Netbios имя локального каталоге Active Directory

Sync Interval: Промежуток между синхронизациями данных

Log Folder: Путь к папке для хранения логов ADSync

Enable Logging: Включение/Отключение логирования событий

Service User Name: Логин пользователя для доступа к панели управления

Service Password: Пароль пользователя

Select Hosted Organization: Название организации

Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory

Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным

Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя

Add Profile: Сохранение текущей конфигурации

Читайте так же:
Плавная регулировка тока на транзисторе

После сохранения изменений необходимо скопировать файл C:Program FilesADSyncSyncConfigurations.xml в папку $WindirSystem32 на все контролеры домена.

Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD

Требования к паролю в облачном AD:

  • Длина пароля должна быть не меньше 7 символов
  • Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
  • Пароль должен содержать минимум одну цифру

После завершения настроек необходимо перезагрузить все контроллеры домена.

Выбор пользователей для синхронизации

Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»

Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.

Заполните предложенные поля:

Local User: Пользователь для синхронизации в локальном Active Directory

Hosted User: Пользователь для синхронизации в облаке провайдера

Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера

После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»

Поиск и устранение возможных проблем

В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

Ключевые возможности Active Directory

— Единая регистрация в сети. Позволяет настроить вход пользователя в рабочее пространство под своей учётной записью. Функционал аутентификации позволяет администрировать доступы пользователе ко всем ресурсам и информационным системам организации, настраивать интеграцию аутентификации c другими службами авторизации (использование единого доступа сотрудника, например, к компьютеру, к электронной почте, корпоративному порталу, 1С и т.д.).

— Безопасность информации. Централизованная настройка ролей и прав доступа группам или отдельным пользователям в рабочей сети, в зависимости от поставленной задачи.

— Лёгкий поиск. Поиск объектов осуществляется при помощи имени пользователя/компьютера или адреса электронной почты.

— Удобный интерфейс. Позволяет проектировать каталоги в виде древовидной структуры или задавать связь и права доступа между несколькими деревьями, обозначающими филиалы в разных зданиях или городах.

— Централизованное управление. Позволяют производить изменения сразу для всей рабочей сети, а не настраивать каждый объект отдельно. Отличное решение, если стоит задача, например, расширить (ограничить) права доступа к конкретному объекту сети или подключить отдельный сервер только для юридического отдела. Такие массовые изменения осуществляются при помощи групповых политик Active Directory.

Групповые политики Active Directory — отвечают за управление компьютерами, которые являются элементами домена, и позволяют максимально оперативно и централизованно настроить рабочее пространство пользователя и систему безопасности.

Возможности групповых политик Active Directory:

  • администрирование операционной системы;
  • настройка безопасности доступов к системному и прикладному программному обеспечению (установка разрешений, включение пользователей в группы);
  • установка, настройка и обновление, удаление программного обеспечения (одновременно на всех необходимых устройствах сети удаленно);
  • обслуживание компонентов операционных систем;
  • интеграция с другими сервисами и приложениями, которые работают по сети, используя функционал групповых политик;
  • настройка правил с зависимостью от местоположения пользователя;
  • выполнение скриптов и многое другое.

Синхронизация контроллеров домена active directory

Интеграция и синхронизация с Active Directory и доменами

Для настройки режимов интеграции с Active Directory и синхронизации данных пользователей Active Directory с пользователями системы SecureTower, в окне вкладки Пользователи и привилегии выберите вкладку Интеграция с Active Directory и доменами .

Читайте так же:
Регулировка вентилятора с датчиком влажности

В режиме интеграции системы со службой каталогов Active Directory операции как со структурой AD, так и с пользовательской информацией (синхронизация пользовательской информации, автоматическая привязка контактной информации, создание новых карточек для неизвестных пользователей) проводятся только на основе данных, хранимых на момент совершения операции в кэше Active Directory. Если в промежуток времени между очередным обновлением кэша AD и совершением какой-либо операции, требующей обращения к кэшу, произошли изменения структуры AD (добавлены новые структурные единицы AD), операция будет выполнена без учета изменений. Для учета изменений, не зафиксированных в кэше AD, перед выполнением операций обновите структуру AD вручную .

Интеграция с Active Directory

Вы можете выбрать объекты AD (домены, субдомены или организационные единицы), с которыми требуется проводить синхронизацию системы SecureTower. Рекомендуется настроить интеграцию для снижения нагрузки на контроллеры доменов и повышения скорости реагирования системы на изменения в AD при работе в сетях со сложной структурой (большим количеством доменов и групп) .

Для настройки интеграции следуйте рекомендациям параграфа Настройка режимов интеграции с Active Directory.

Синхронизация пользователей

Система позволяет настроить синхронизацию внутренней базы пользователей с базой пользователей Active Directory. Синхронизация обеспечивает автоматическое добавление новых пользователей Active Directory в базу пользователей SecureTower, обновление информации о пользователях из Active Directory, а также удаление из базы системы карточек пользователей, чьи учетные данные были удалены из Active Directory.

Для настройки параметров синхронизации системы с Active Directory следуйте рекомендациям параграфа Настройка синхронизации с Active Directory.

Синхронизация пользовательской информации выполняется только на основе данных, хранимых на момент совершения операции в кэше Active Directory. Для немедленного учета изменений, не зафиксированных в кэше AD, обновите структуру AD вручную .

Интеграция с контроллерами доменов для распознавания IP-адресов

Контроллер домена предоставляет системе информацию о членстве пользователя в различных группах. Эта информация используется для входа пользователя в систему Windows. Система SecureTower позволяет получать данные об аутентификации пользователей, включенных в Active Directory, путем обращения к контроллерам доменов сети организации.

Информация об авторизации пользователей на рабочих станциях в сети организации, получаемая от контроллера домена, будет добавляться в карточки пользователей SecureTower в автоматическом режиме. Выполнение интеграции с контроллерами доменов позволяет обеспечивать корректную привязку пользователей к IP-адресам для точного соответствия информации, перехваченной с рабочих станций, определенному пользователю.

Для настройки интеграции с контроллерами домена следуйте рекомендациям параграфа Настройка интеграции с контроллерами домена.

Восстановление контроллера домена в режиме «non-authoritative»

Собираясь восстанавливать контроллер домена, необходимо сначала определить, будет ли достаточен режим «non-authoritative» или потребуется воспользоваться режимом «authoritative». Разница между этими двумя режимами заключается в том, что при режиме восстановлении «non-authoritative» контроллер домена понимает, что он был в течение некоторого времени отключен. Поэтому он позволяет другим контроллерам домена обновить его базу данных, внеся в нее последние изменения, произошедшие во время его отсутствия. При «authoritative» восстановлении контроллер считает, что только на нем имеется истинно верная база данных, поэтому именно он получает полномочия на обновление баз данных других контроллеров домена на основе своих данных.

В большинстве сценариев восстановления вам потребуется режим «non-authoritative», поскольку в среде имеется несколько контроллеров домена. Кроме того, «authoritative» восстановление контроллера домена может привести к новым проблемам. Именно на этом основана логика Veeam Backup & Replication: по умолчанию выполняется «non-authoritative» восстановление DC, поскольку считается, что инфраструктура выстроена с избыточностью и включает в себя несколько контроллеров домена. Чтобы выполнить «authoritative» восстановление с помощью Veeam, необходимо осуществить некоторые дополнительные действия, которые описаны ниже.

Читайте так же:
Синхронизация импульсного света с вспышкой

ПРИМЕЧАНИЕ. Еще один распространенный вариант действий при отказе контроллера домена — распределить его роли между другими контроллерами и очистить метаданные, если восстановление маловероятно. В этом случае вы поручаете другим DC выполнять функции отказавшего, и вам не нужно его восстанавливать.

Давайте вернемся к файлам резервных копий, которые были описаны в предыдущей статье. Восстановить контроллер домена из резервной копии Veeam Backup & Replication очень легко. Для этого нужно:

  • Выбрать мастер восстановления в пользовательском интерфейсе
  • Найти нужный контроллер домена
  • Выбрать в меню восстановления вариант восстановления ВМ целиком (Restore Entire VM)
  • Затем указать точку восстановления
  • Выбрать исходное или новое место восстановления
  • Завершить процедуру

Самое замечательное здесь, что благодаря обработке данных с учетом состояния приложений при создании резервной копии, вам больше ничего не потребуется делать. Veeam распознает контроллер домена в указанной ВМ и аккуратно восстановит его, используя особый алгоритм:

  • Восстановление файлов и жестких дисков ВМ
  • Загрузка ОС в специальном режиме восстановления доменных сервисов (DSRM mode)
  • Применение настроек
  • Перезапуск в обычном режиме

Контроллер домена будет знать о восстановлении из резервной копии и предпримет соответствующие действия: существующая база данных будет объявлена недействительной, и партнеры репликации смогут обновить ее, внеся наиболее свежую информацию.

1 - Entire VM recovery

Рис. 1. Veeam Backup & Replication: Восстановление ВМ целиком

Здесь можно прочитать о восстановлении «на голое железо» резервной копии с помощью Veeam Endpoint Backup. Вам потребуется заранее подготовленный аварийный загрузочный диск Veeam и доступ к самой резервной копии (на USB-носителе или сетевом диске). Помните, что в данном случае особая логика Veeam Backup & Replication использоваться не будет. После восстановления с помощью Veeam Endpoint Backup ваш контроллер домена загрузится в режиме восстановления. Вам нужно будет решить, хотите ли вы менять ключи реестра или сразу перезапустите ВМ в обычном режиме. Возможно, эта статья базы знаний будет полезна.

2 - Veeam Endpoint Backup bare-metal recovery

Рис. 2. Veeam Endpoint Backup: восстановление «на голое железо»

Результат проверки — отображается результат последней проверки соединения с AD-сервером и успех или неуспех этой операции.

Чтобы назначить пользователю в Active Directory — конфигурацию Усиленный контроль, если рабочая станция пользователя входит в группу staffcop_full_control, нужно сделать следующее:

В конфигурации Усиленный контроль в разделе Назначение агентов — задать в переменной Группа AD строку — staffcop_full_control, и сохранить конфигурацию.

На сервере Aсtive Directory открыть оснастку управления Пользователями и Компьютерами и в группе Computers (Компьютеры) создать группу с именем — staffcop_full_control.

Найти имя компьютера или компьютеров, которому хотите назначить конфигурацию Усиленный контроль и добавьте его в созданную группу с именем staffcop_full_control.

Далее в веб-интерфейсе Staffcop Enterprise нужно в меню Админ — Глобальная конфигурация, нажать кнопку Сохранить.

Через 1-2 минуты конфигурация усиленный контроль — будет назначена всем рабочим станциям, которые входят в группу Active Directory с именем — staffcop_full_control.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

Читайте так же:
Синхронизация для интернет эксплорер

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:»,0×1 , 0×1 , 0×1 , 0×1″

Внешним источником времени по умолчанию для Windows Server является сервер Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

Настройка устройства TING.¶

1. Настройка имени устройства и DNS¶

  • Установить флаг Не используйте локальную службу DNS в качестве сервера имен для этой системы

  • В поле DNS-серверы прописать IP адрес контроллера домена ( 192.168.1.3 )

2. Настройка сетевого времени¶

Перейдите в раздел Службы -> Сетевое время -> Общие.

В поле Серверы времени укажите имя контроллера домена dc.ztest.int либо IP адрес контроллера домена 192.168.1.3 .

Примечание

Время на контроллере домена и устройстве TING должно быть синхронизированно.

3. Настройка LDAP коннектора¶

Пройдите в раздел Система -> Доступ -> Серверы, в правом верхнем углу нажмите на кнопку Добавить сервер и задайте следующие настройки:

Описательное имя

INT-DC

Тип

LDAP

Имя хоста или IP-адрес

192.168.1.3

Значение порта

389

Транспортный протокол

TCP

Версия протокола

3

Привязать параметры доступа

имя и пароль 1

Область поиска

Единичный уровень

Базовый DN

DC=ztest,DC=int

Контейнеры для аутентификации

CN=Users,DC=ztest,DC=int 2

Начальный шаблон

Microsoft AD

Атрибут присвоения имени пользователю

sAMAccountName

1

имя и пароль учетной записи, созданной при настроке домена для создания LDAP коннектора.

2

выберите контейнеры, в которых находятся учетные записи пользователей.

4. Проверка LDAP коннектора¶

Пройдите в раздел Система -> Доступ -> Средство проверки

Выберите в списке созданный нами сервер, введите имя и пароль учетной записи домена.

Результатом должно быть сообщение об успешной проверке:

5. Настройки веб-прокси¶

  • В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Основные настройки прокси, установите флаг Включить прокси, если он еще не установлен.

_images/sso_enable_web_proxy.png

В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси -> Настройка Аутентификации, в поле Метод аутентификации укажите ваш настроенный LDAP-коннектор.

_images/sso_proxy_select_ldap.png

В разделе Службы -> Веб-прокси -> Администрирование, на вкладке Перенаправляющий прокси, в меню Основные настройки перенаправления снимите флаг Включить прозрачный HTTP-прокси, если он установлен.

Примечание

Использование механизма прозрачного HTTP-проксирования не совместимо ни с одним методом аутентификации. Чтобы использовать аутенитификацию Kerberos, данный механизм должен быть выключен.

6. Установка плагина os-proxy-sso

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-sso для его установки.

После установки плагина os-proxy-sso, в разделе Службы -> Веб-прокси появляется подраздел Технология единого входа (SSO).

7. Автоматическая настройка аутентификации по протоколу Kerberos¶

7.1 Включите Single Sign On

В разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, установите флаг Включить единый вход для прокси-сервера.

При необходимости вы можете включить/выключить использование Basic аутентификации, установив/сняв соответствующий флажок Basic Autentification 3

Читайте так же:
Часы застежка бабочка регулировка

3

Данная схема аутентификации (Basic) используется для аутентификации пользователей, чьи компьютеры не являются членами домена путем ввода пароля в сплывающем окне браузера.

Если вы отключите Basic аутентификацию, то пользователи, чьи компьютеры не входят в домен, не будут обслуживаться прокси-сервером.

В поле Реализация AD Kerberos выберите значение Windows 2008 with AES.

_images/sso_enable.png

При нажатии на кнопку Применить будут произведены следующие действия:

происходит автогенерация конфигурационного файла krb5.conf для библиотеки Kerberos

модифицируется конфигурационный файл Squid /usr/local/sbin/squid.conf для загрузки хелпера Kerberos-аутентификации negotiate_kerberos_auth

производится перезапуск веб-прокси сервера Squid

7.2 Настройте аутентификацию по протоколу Kerberos

  • Перейдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO) -> Аутентификация по протоколу Kerberos и нажмите кнопку Обновить

_images/sso_check_kerb.png

Все пункты, кроме Файл keytab должны быть отмечены зеленым.

Если это не так — перепроверьте все шаги.

Создайте учетную запись компьютера с необходимыми SPN в Active Directory:

В поле Имя администратора AD, укажите имя учетной записи администратора домена.

В поле Пароль администратора AD, укажите пароль для учетной записи администратора домена.

Нажмите на кнопку Создать keytab-файл.

_images/sso_generate_keytab.png

  • создается учетная запись компьютера с именем, указанным на закладке Общие

  • прописываются необходимые SPN-имена

  • генерируется keytab-файл /usr/local/etc/squid/squid.keytab на устройстве TING c SPN-именами / ключами для керберизированной службы

Нажмите кнопку Обновить.

Все пункты должны быть отмечены зеленым.

Если это не так — перепроверьте все шаги.

Нажмите кнопку Показать keytab-файл

Результат должен быть такой:

7.3 Проверьте правильность настроек.

Для этого введите Имя пользователя и Пароль пользователя домена в соответствующие поля и нажмите Проверить вход через Kerberos

_images/sso_check_result.png

В случае, если все настройки были сделаны верно, вы увидите положительный результат проверки, подобный, как на изображении выше.

7.4 Примените настройки.

Для этого либо в разделе Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладке Общие настройки, либо в разделе Службы->Веб-прокси->Администрирование нажмите кнопку Применить

8. Ручная настройка аутентификации в Active Directory через Kerberos¶

Иногда возникает ситуация, когда по определенным причинам у вас нет доступа к учетной записи администратора домена (к примеру, политики безопасности предприятия).

В таком случае вам необходимо на контроллере домена создать keytab файл, перенести его на устройство TING и выпонить конфигурацию устройства.

Для ручной настройки аутентификации в Active Directory через Kerberos вам необходимо выполнить все шаги по настройке устройства TING , описанные выше, вплоть до создания учетной записи компьютера в каталоге Active Directory

После чего выполнить следующие шаги:

8.1. Пройдите в раздел Службы -> Веб-прокси -> Технология единого входа (SSO), на вкладку Аутентификация по протоколу Kerberos, нажмите кнопку Обновить — и убедитесь, что все пункты, за исключением Файл keytab отмечены зеленым. Если это не так, то необходимо проверить настройки.

8.2. Создайте в домене учетную запись компьютера с именем, совпадающим в поле Kerberos-аккаунт этой машины в AD на вкладке Службы -> Веб-прокси -> Технология единого входа (SSO) -> Общие настройки

Примечание

Использование учетной записи компьютера предпочтительнее, так-как на учетную запись пользователя групповой политикой может накладываться ограничение на время действия пароля.

8.3. На контроллере домена добавьте SPN HTTP к учетной записи созданного компьютера (в нашем случае TING ) и одновременно экспортируйте keytab-файл.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector