Интеграция с доменами¶

Доверительные отношения¶

В подразделе представлены функции управления доверительными отношениями с доменами ALD Pro и Microsoft Active Directory (MS AD).

На вкладке подраздела приведен список доменов ALD Pro и MS AD, к которым выполнено подключение данным доменом.

Подключения к домену находятся в одном из трех состояний, указанные в стоблце Тип доверия:

входящие: доверительные отношения установлены для данного домена ALD Pro касательно пользователей другого домена ALD Pro или MS AD (ALD Pro имеет доступ к пользователям другого домена ALD Pro или MS AD). Входящее доверие нельзя создать на данном домене, оно создается автоматически, при создании исходящего доверия на другом домене с данным доменом;
исходящие: доверительные отношения установлены для другого домена ALD Pro или MS AD касательно пользователей данного домена ALD Pro (другой домен ALD Pro или MS AD имеет доступ к пользователям ALD Pro);
двусторонние: доверительные отношения установлены между другим доменом ALD Pro или MS AD и данным доменом ALD Pro.

После установки доверительных отношений между доменами пользователи Active Directory получают возможность авторизоваться на рабочих станциях в домене ALD Pro, используя свои идентификаторы в домене Active Directory.

Для списка доступен поиск по названию домена. Для этого в поле поиска начать вводить название, результат поиска будет выводиться по мере ввода. Список может быть отфильтрован по типу домена (ALD Pro или MS AD) и по типу доверия.

Справа от поисковой строки расположена кнопка [+ Новое подключение].

В левом нижнем углу указано количество доменов, а в правом нижнем углу кнопки переключения страниц.

Создание нового подключения¶

Для установки доверительных отношений с новым доменом необходимо нажать на кнопку [+ Новое подключение].

В карточке подключения в разделе Настройка доверенного домена указать:

Имя домена: имя домена, с которым устанавливаются доверительные отношения, без указания контроллера домена;
Тип домена: тип домена ALD Pro или MS AD, выбирается вручную в соответсвие с типом домена, с которым устанавливаются доверительные отношения. При выборе некорректного типа домена доверительные отношения установлены не будут;
Учетная запись: учетная запись, под которой устанавливаются доверительные отношения, должна принадлежать домену, с которым устанавливаются доверительные отношения и обладать правами на установку доверительных отношений;
Пароль: пароль учетной записи домена, с которым устанавливаются доверительные отношения;
Подтверждение пароля.

В разделе Настройки доверия выбрать тип доверия: двусторонние или исходящие.

Для сохранения нового подключения необходимо нажать на кнопку + Добавить в правом нижнем углу.

Для закрытия карточки и возврата к списку доменов нажать на кнопку закрытия.

Важно

Установление доверительных отношений (ДО) с доменами MS AD требует дополнительных действий.

Перед установкой ДО на всех контроллерах домена ALD Pro необходимо выполнить команды:

sudo net conf setparm global "restrict anonymous" "0"

sudo aldproctl restart -i

После необходимо создать на портале управления ALD Pro ДО с доменом MS AD.

Затем на каждом контроллере домена ALD Pro необходимо выполнить команду:

rm /var/lib/sss/db/* && systemctl restart sssd

Для сохранения нового подключения необходимо нажать на кнопку [+ Добавить] в правом верхнем углу.

Для закрытия карточки и возврата к списку подключений следует нажать на кнопку [Х]. В случае закрытия карточки возникнет всплывающее окно для подтверждения закрытия без внесенных изменений, если таковые есть.

Редактирование подключения¶

Созданное подключение нельзя редактировать. Для внесения изменений в подключение необходимо удалить и создать заново.

Удаление подключения¶

Для удаления подключения на вкладке Доверительные отношения необходимо выбрать домен, отношения с которым необходимо разорвать, и нажать на кнопку [Удалить]. После подтверждения удаления домен пропадет из списка.

Внимание

При удалении доверительных отношений с доменом ALD Pro требуется дополнительное подтверждение. Необходимо ввести данные учетной записи (логин и пароль) домена, с которым удаляются отношения. Учетная запись должна обладать правами на управление доверительными отношениями.

Миграции MS AD¶

Внимание

В следующей версии ALD Pro LTS данный функционал будет исключен из портала управления. Для синхронизации объектов из домена MS AD необходимо использовать модуль синхронизации.

В подразделе представлены функции управления миграцией LDAP-объектов службы каталогов Microsoft Active Directory – пользователей, группы пользователей и подразделения в домен ALD Pro. Также, можно настроить правила переноса атрибутов, поскольку структура LDAP-объектов в MS AD и ALD Pro отличается.

Внимание

Для управления миграцией объектов из MS AD, учетная запись пользователя должна обладать соответствующей привилегией и должна быть добавлена в группы пользователей trust admins и ald trust admin.

Важно

Необходимо использовать Модуль синхронизации вместо функционала Миграции MS AD, так как Модуль синхронизации имеет ряд преимуществ:

Непрерывная синхронизация изменений из MS AD в отличие от разовой миграции.
Возможность синхронизации любых атрибутов объектов MS AD (в миграции список атрибутов ограничен).
Возможность настроить двустороннюю синхронизацию паролей пользователей между доменами ALD Pro и MS AD.
Возможность проверки потенциальных ошибок синхронизации посредством функционала «Проверка конфликтов синхнронизации».
Отслеживание объектов синхронизации и их конфликтов через дерево синхронизации.

Миграция объектов Active Directory¶

При выборе пункта Миграция объектов Active Directory отобразятся обязательные для заполнения поля Учетная запись для миграции, Пароль пользователя, Подтверждение пароля, Базовое уникальное имя (base DN), Имя домена и Контроллер домена.

Имя домена - это имя контроллера домена Active Directory.

Значеине в поле Контроллер домена необходимо указать в формате:

protocol://имя.контроллера.домена:порт

Учетная запись для миграции должна быть заведена в домене Active Directory и должна обладать правами администратора домена.

Поле Базовое уникальное имя (base DN) определяет откуда начинать поиск объекта в Active Directory.

В поле Базовое уникальное имя (base DN) указывается имя домена в формате:

dc=поддомен_1,dc=поддомен_2,dc=основное_имя_сайта,dc=доменная_зона

Например, для домена win-ad.subdomain.ald.pro указывается:

dc=win-ad,dc=subdomain,dc=ald,dc=pro

Для выполнения можно отметить пункт Игнорировать ошибки SSL.

Перенаправление зоны DNS¶

Перенаправление позволяет посылать запросы для домена на определенный DNS-сервер.

Для корректной работы миграции необходимо настроить зоны перенаправления (см. Перенаправление запросов).

Создание миграции MS AD¶

Создание миграции MS AD выполняется на вкладке Миграции MS AD раздела Интеграция с доменами. Для создания нового подключения необходимо нажать кнопку [+ Новая миграция].

Появится карточка создания новой миграции, которая содержит столбцы Настройки домена MS AD и Настройки учетной записи MS AD, все поля ввода в столбцах обязательны к заполнению.

Имя домена - имя домена MS AD.
Контроллер домена - имя контроллера домена MS AD в формате FQDN.
Базовое уникальное имя (base DN) - RDN (относительное уникальное имя) домена MS AD.

Например, для домена MS AD win12.domain.local.ru RDN будет иметь значение dc=win12, dc=domain, dc=local, dc=ru.

Учетная запись для миграции - учетная запись домена MS AD, обладающая правами администратора.
Пароль и Подтверждение пароля - пароль от учетной записи MS AD.

Для сохранения новой миграции необходимо нажать на кнопку [+ Добавить] в правом верхнем углу.

Настройка миграции MS AD¶

Настройка миграции осуществляется на карточке Миграция домена. Для ее открытия необходимо выбрать миграцию и нажать кнопку [Настроить и запустить миграцию].

Появится карточка миграции домена, которая содержит столбцы Настройки миграции и Учетная запись администратора, все поля ввода в столбцах обязательны к заполнению.

Подразделение Active Directory - список подразделений MS AD из которых можно мигрировать объекты.
Подразделение ALD Pro - список подразделений ALD Pro из которых можно мигрировать объекты.
Объекты миграций - выбор типов объектов, которые будут мигрированы.

При выборе объекта миграции Пользователи появится дополнительное поле Пароль пользователя, в котором необходимо указать временный пароль, который предоставляется всем мигрированным пользователям. При первой авторизации пользователю или администратору необходимо сбросить пароль.

Учетная запись для миграции - учетная запись домена MS AD, обладающая правами администратора.
Пароль - пароль от учетной записи MS AD.

После заполнения нажать [Запустить миграцию].

Редактирование подключения к Active Directory¶

Редактирование подключения к Active Directory выполняется на его карточке. Для открытия карточки необходимо на вкладке Миграция MS AD нажать на соответствующий домен в списке.

Для закрытия карточки и возврата к списку нажать на кнопку закрытия.

На вкладке настраивается сопоставление полей домена Active Directory с полями домена ALD Pro при выполнении миграции.

Список миграций¶

На вкладке приведен список настроенных сопоставлений с указанием поля в домене Active Directory, соответствующего поля в домене ALD Pro и относящегося к ним объекта миграции.

Для списка доступен поиск по названиям полей доменов. Для этого в поле поиска начать вводить название, результат поиска будет выводиться по мере ввода.

В левом нижнем углу указано количество записей в списке, а в правом нижнем углу кнопки переключения страниц.

Новое сопоставление полей миграции¶

Для создания нового сопоставления полей миграции необходимо выбрать подключение к домену, нажать на кнопку [Редактировать], будет выполнен переход на карточку нового сопоставления.

На карточке необходимо в поле Атрибут AD указать поле домена Active Directory, в поле Атрибут ALD Pro указать поле домена ALD Pro и в выпадающем списке Объект миграции выбрать тип объекта.

Для сохранения новой миграции необходимо нажать на кнопку [+ Добавить] в правом верхнем углу.

Удаление сопоставления полей миграции¶

Для удаления сопоставления полей миграции или несколько сопоставлений одновременно необходимо в списке отметить требуемые сопоставления и нажать кнопку [Удалить].

Чтоб отметить все имеющиеся сопоставления — отметить пункт Атрибут Active Directory.

Запуск миграции¶

Для запуска миграции из данного домена Active Directory необходимо выбрать подключение к домену, нажать кнопку [Настроить и запустить миграцию], будет выполнен переход на карточку запуска миграции.

На карточке в обязательных для заполнения выпадающих списках необходимо выбрать из какого подразделения Active Directory в какое подразделение ALD Pro будет выполнена миграция.

При необходимости отметить требуемые объекты миграции. При выборе пункта Пользователи необходимо ввести пароль. Пароль должен соответствовать политике паролей ALD Pro по умолчанию. Контроль соответствия пароля политике возлагается на администратора.

Затем необходимо заполнить поля Логин администратора ALD Pro и Пароль администратора ALD Pro. Учетная запись должна обладать правами администратора домена.

Для сохранения новой миграции необходимо нажать на кнопку [Сохранить] в правом верхнем углу.

Удаление подключения к Active Directory¶

Удаление подключения к Active Directory выполняется на его карточке. Для открытия карточки подключения необходимо в списке подключений на вкладке Миграция объектов Active Directory нажать на подключение, затем нажать на кнопку Удалить. После подтверждения удаления будет выполнен переход к списку подключений.

Важно

При удалении подключения к Active Directory, связанная с ним зона DNS не будет удалена автоматически. Удаление такой зоны DNS осуществляется только в ручном режиме (при необходимости).