Интеграции с доменами

Миграции MS AD

В подразделе представлены функции управления миграцией LDAP-объектов службы каталогов Microsoft Active Directory – пользоваталей, группы пользователей и подразделения в домен ALD Pro. Также, можно настроить правила переноса атрибутов, поскольку структура LDAP-объектов в MS AD и ALD Pro отличается.

Внимание

Для управления миграцией объектов из MS AD, учетная запись пользователя должна обладать соответствующей привелегией и должна быть добавлена в группы пользователей trust admins и ald trust admin.

Редактирование подключения к Active Directory

Редактирование подключения к Active Directory выполняется на его карточке. Для открытия карточки необходимо на вкладке Миграция MS AD нажать на соответствующий домен в списке.

Для закрытия карточки и возврата к списку нажать на кнопку закрытия.

Сопоставление полей при миграции

На вкладке настраивается сопоставление полей домена Active Directory с полями домена ALD Pro при выполнении миграции.

Список миграций

На вкладке приведен список настроенных сопоставлений с указанием поля в домене Active Directory, соответствующего поля в домене ALD Pro и относящегося к ним объекта миграции.

Для списка доступен поиск по названиям полей доменов. Для этого в поле поиска начать вводить название, результат поиска будет выводиться по мере ввода.

В левом нижнем углу указано количество записей в списке, а в правом нижнем углу кнопки переключения страниц.

Новое сопоставление полей миграции

Для создания нового сопоставления полей миграции необходимо выбрать подключение к домену, нажать на кнопку Редактировать, будет выполнен переход на карточку нового сопоставления.

На карточке необходимо в поле Атрибут AD указать поле домена Active Directory, в поле Атрибут ALD Pro указать поле домена ALD Pro и в выпадающем списке Объект миграции выбрать тип объекта.

Для сохранения нового сопоставления необходимо нажать на кнопку Добавить.

Для закрытия карточки и возврата к списку миграций нажать на кнопку закрытия.

Удаление сопоставления полей миграции

Для удаления сопоставления полей миграции или несколько сопоставлений одновременно необходимо в списке отметить требуемые сопоставления и нажать кнопку [Удалить].

Чтоб отметить все имеющиеся сопоставления — отметить пункт Атрибут Active Directory.

Запуск миграции

Для запуска миграции из данного домена Active Directory необходимо выбрать подключение к домену, нажать кнопку Настроить и запустить миграцию, будет выполнен переход на карточку запуска миграции.

На карточке в обязательных для заполнения выпадающих списках необходимо выбрать из какого подразделения Active Directory в какое подразделение ALD Pro будет выполнена миграция.

При необходимости отметить требуемые объекты миграции. При выборе пункта Пользователи необходимо ввести пароль.

Затем необходимо заполнить поля Логин администратора ALD Pro и Пароль администратора ALD Pro. Учетная запись должна обладать правами администратора домена.

Для выполнения миграции необходимо нажать на кнопку сохранения в правом верхнем углу.

Для закрытия карточки и возврата к списку миграций нажать на кнопку закрытия.

Удаление подключения к Active Directory

Удаление подключения к Active Directory выполняется на его карточке. Для открытия карточки подключения необходимо в списке подключений на вкладке Миграция объектов Active Directory нажать на подключение, затем нажать на кнопку Удалить. После подтверждения удаления будет выполнен переход к списку подключений.

Важно

При удалении подключения к Active Directory, связанная с ним зона DNS не будет удалена автоматически. Удаление такой зоны DNS осуществляется только в ручном режиме (при необходимости).

Доверительные отношения

В подразделе представлены функции управления доверительными отношениями с доменами ALD Pro и Microsoft Active Directory (MS AD).

На вкладке подраздела приведен список доменов ALD Pro и MS AD, к которым выполнено подключение данным доменом.

Подключения к домену находятся в одном из трех состояний, указанные в стоблце Тип доверия:

  • входящие: доверительные отношения установлены для данного домена ALD Pro касательно пользователей другого домена ALD Pro или MS AD (ALD Pro имеет доступ к пользователям другого домена ALD Pro или MS AD). Входящее доверие нельзя создать на данном домене, оно создается автоматически, при создании исходящего доверия на другом домене с данным доменом;

  • исходящие: доверительные отношения установлены для другого домена ALD Pro или MS AD касательно пользователей данного домена ALD Pro (другой домен ALD Pro или MS AD имеет доступ к пользователям ALD Pro);

  • двусторонние: доверительные отношения установлены между другим доменом ALD Pro или MS AD и данным доменом ALD Pro.

Для списка доступен поиск по названию домена. Для этого в поле поиска начать вводить название, результат поиска будет выводиться по мере ввода. Список может быть отфильтрован по типу домена (ALD Pro или MS AD) и по типу доверия.

В левом нижнем углу указано количество доменов, а в правом нижнем углу кнопки переключения страниц.

Авторизации пользователей Active Directory

После установки доверительных отношений между доменами пользователи Active Directory получают возможность авторизоваться на рабочих станциях в домене ALD Pro, используя свои идентификаторы в домене Active Directory.

Создание нового подключения

Для установки доверительных отношений с новым доменом необходимо кликнуть кнопку + Новое подключение.

В карточке подключения в разделе Настройка доверенного домена указать:

  • Имя домена: имя домена, с которым устанавливаются доверительные отношения, без указания контроллера домена;

  • Тип домена: тип домена ALD Pro или MS AD, выбирается вручную в соответсвие с типом домена, с которым устанавливаются доверительные отношения. При выборе некорректного типа домена доверительные отношения установлены не будут;

  • Учетная запись: учетная запись, под которой устанавливаются доверительные отношения, должна принадлежать домену, с которым устанавливаются доверительные отношения и обладать правами на установку доверительных отношений;

  • Пароль: пароль учетной записи домена, с которым устанавливаются доверительные отношения;

  • Подтверждение пароля.

В разделе Настройки доверия выбрать тип доверия: двусторонние или исходящие.

Для сохранения нового подключения необходимо нажать на кнопку + Добавить в правом нижнем углу.

Для закрытия карточки и возврата к списку доменов нажать на кнопку закрытия.

Важно

Установление доверительных отношений (ДО) с доменами MS AD требует дополнительных действий. Перед установкой ДО на всех контроллерах домена ALD Pro необходимо выполнить команды:

sudo net conf setparm global "restrict anonymous" "0"

sudo aldproctl restart -i

После необходимо создать на портале управления ALD Pro ДО с доменом MS AD.

Затем на каждом контроллере домена ALD Pro необходимо выполнить команду:

rm /var/lib/sss/db/* && systemctl restart sssd

Редактирование подключения

Созданное подключение нельзя редактировать. Для внесения изменений в подключение необходимо удалить и создать заново.

Удаление подключения

Для удаления подключения на вкладке Доверительные отношения необходимо выбрать домен, отношения с которым необходимо разорвать, и нажать на кнопку Удалить. После подтверждения удаления домен пропадет из списка.

Внимание

При удалении доверительных отношений с доменом ALD Pro требуется дополнительное подтверждение. Необходимо ввести данные учетной записи (логин и пароль) домена, с которым удаляются отношения. Учетная запись должна обладать правами на управление доверительными отношениями.