Аутентификация через Active Directory. Настройка контроллера домена и экземпляра ПО

Внимание!

Представленные здесь инструкции зависят от конфигурации сторонних систем и окружения, в котором развёрнут экземпляр ПО Comindware Business Application Platform (далее «экземпляр ПО»).

Описать все возможные варианты и сочетания конфигураций сторонних систем не представляется возможным, поэтому данные инструкции могут не подойти для вашего случая.

Для корректной настройки конфигурации контроллера домена, экземпляра ПО и компьютеров конечных пользователей следует обратиться за консультацией в службу поддержки Comindware по адресу:

https://www.comindware.ru/company/contact-us/#tab_support

Введение

Здесь представлены инструкции по настройке контроллера домена и экземпляра ПО Comindware Business Application Platform для аутентификации пользователей через Active Directory. Инструкции приведены для контроллера домена под управлением ОС Windows и экземпляра ПО под управлением ОС Linux.

Определения

Контроллер домена — машина с развёрнутыми доменными службами Active Directory.
Домен Active Directory — группа объектов в сети.

Примеры значений параметров

Здесь примеры значений параметров заключены в угловые скобки < >. При настройке конфигурации заменяйте их на фактические значения, как показано в следующей таблице.

Пример параметра	Пример фактического значения
`<DCName>`	`DC`
`<DCName>.<domain.name>`	`DC.example.com`
`HTTP/<DCName>.<domain.name>@<DOMAIN.NAME>`	`HTTP/DC.example.com@EXAMPLE.COM`
`<linuxHost>`	`server-host-name`
`<domain.controller.ip.address>`	`192.168.0.254`

Примечание

Протокол аутентификации Kerberos учитывает регистр символов — там, где в инструкциях даны примеры параметров в верхнем регистре, следует подставлять фактические значения также в верхнем регистре.

Конфигурация машины linuxHost с экземпляром ПО Comindware Business Application Platform

Параметр	Значение
Операционная система	Linux
Имя хоста	`<linuxHost>`
IP-адрес хоста	`<linux.host.ip.address>`

Конфигурация машины DCName с контроллером домена

Параметр	Значение
Операционная система	Windows Server 2016
Имя хоста	`<DCName>`
FQDN контроллера домена	`<DCName>.<domain.name>`
Доменное имя	`<domain.name>`
IP-адрес контроллера домена	`<domain.controller.ip.address>`

Настройка машины linuxHost с экземпляром ПО для Astra Linux и Ubuntu

Настройка конфигурации Kerberos

Установите пакеты krb5-user, krb5-config и зависимости для них:
```
apt install krb5-user krb5-config
```
Откройте файл конфигурации Kerberos для редактирования:
```
vim /etc/krb5.conf
```

Отредактируйте файл krb5.conf согласно следующему примеру:

#astra-winbind
[libdefaults]
    default_realm = <DOMAIN.NAME>
    kdc_timesync = 1
    ccache_type = 2
    forwardable = true
    proxiable = true
    fcc-mit-ticketflags = true
    dns_lookup_realm = false
    default_ccache_name = DIR:/tmp
[realms]
    <DOMAIN.NAME> = {
        kdc = <DCName>.<domain.name>
        admin_server = <DCName>.<domain.name>
        default_domain = <domain.name>
    }
[domain_realm]
    .<domain.name> = <DOMAIN.NAME>
    <domain.name> = <DOMAIN.NAME>
[login]
    krb4_convert = false
    krb4_get_tickets = false

Настройка конфигурации экземпляра ПО

Войдите в экземпляр ПО с помощью браузера.
Настройте подключение к серверу каталогов, которое будет использоваться для синхронизации аккаунтов.
На вкладке «Основные»:
- установите флажок «Использовать по умолчанию»;
- в поле «Аутентификация пользователей» — выберите протокол проверки подлинности Kerberos.
Остальные параметры настройте согласно конфигурации сервера каталогов.
Сохраните свойства подключения.
Перезапустите экземпляр ПО:
```
systemctl restart comindware<instance_name>
```
Здесь <instance_name> — имя экземпляра ПО.

Проверка вывода трассировщика ошибок в Shell

Выполните команду, чтобы проверить работоспособность Kerberos:
```
KRB5_TRACE=/dev/stdout kinit <username>
```
Здесь <username> — любой пользователь домена, для которого известен пароль.

Настройка машины linuxHost с экземпляром ПО для Rocky Linux

Настройка конфигурации Kerberos

Установите пакеты krb5-user, krb5-config и зависимости для них:
```
yum install krb5-workstation
```
Откройте файла конфигурации Kerberos для редактирования:
```
vim /etc/krb5.conf
```

Отредактируйте файл krb5.conf согласно следующему примеру:

[libdefaults]
    default_realm = <DOMAIN.NAME>
    kdc_timesync = 1
    ccache_type = 2
    forwardable = true
    proxiable = true
    fcc-mit-ticketflags = true
    dns_lookup_realm = false
[realms]
    <DOMAIN.NAME> = {
        kdc = <DCName>.<domain.name>
        admin_server = <DCName>.<domain.name>
        default_domain = <domain.name>
    }
[domain_realm]
    .<domain.name> = <DOMAIN.NAME>
    <domain.name> = <DOMAIN.NAME>
[login]
    krb4_convert = false
    krb4_get_tickets = false

Откройте файл конфигурации kcm_default_ccache для редактирования:
```
vim /etc/krb5.conf.d/kcm_default_ccache
```
Отредактируйте файл kcm_default_ccache согласно следующему примеру:
```
[libdefaults]
default_ccache_name = DIR:/tmp
```

Настройка конфигурации экземпляра ПО

Войдите в экземпляр ПО с помощью браузера.
Настройте подключение к серверу каталогов, которое будет использоваться для синхронизации аккаунтов.
На вкладке «Основные»:
- установите флажок «Использовать по умолчанию»;
- в поле «Аутентификация пользователей» — выберите протокол проверки подлинности Kerberos.
Остальные параметры настройте согласно конфигурации сервера каталогов.
Сохраните свойства подключения.
Перезапустите экземпляр ПО:
```
systemctl restart comindware<instance_name>
```

Проверка вывода трассировщика ошибок в Shell

Выполните команду, чтобы проверить работоспособность Kerberos:
```
KRB5_TRACE=/dev/stdout kinit <username>
```
Здесь <username> — имя любого пользователя домена, для которого известен пароль.

Связанные статьи

Сервер каталогов. Настройка подключения

Синхронизация с сервером каталогов (Active Directory)

Аутентификация через единый вход (SSO). Настройка контроллера домена, экземпляра ПО и компьютера конечного пользователя