Проверка функции «Управление доверительными отношениями с доменами»

Для работы с глобальным каталогом в системе создана пользовательская роль (условное обозначение - role), которая отвечает следующим требованиям:

  1. Роль назначена на подразделение «A», выбрана опция «Включая дочерние».

  2. Для роли добавлена только привилегия «Global Catalog - Add» и «Domain Controllers - Create», а также все необходимые зависимые привилегии:

  • Global Catalog - Read,

  • Domain Controllers - Read,

  • IPA Servers - Read,

  • Sites - Read,

  • Computers - Read,

  • Organization units - Read,

  • DNS Zones - Read.

  1. Привилегии роли, имеющие признак привязки к сайту, назначены на все сайты (при добавлении привилегий была выбрана опция «Все сайты»).

  2. Роль находится в состоянии «Активна».

Подключение к Active Directory для миграции объектов

Предусловие прохождения проверки:

  1. В системе присутствует УЗ администратора (роль «Главный администратор» или с правами на создание подключений к MS AD для миграции), состоящая в группах trust admins и ald trust admin.

  2. В инфраструктуре системы присутствует контроллер домена MS AD (условное обозначение - msad), с которым можно настроить подключение для миграции.

  3. Пользователь из п.1 выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD».

Отображается таблица с перечнем всех доменов MS AD, с которыми настроена миграция объектов.

Шаг 2

Нажать на кнопку «+ Новая миграция».

Отображено окно с формой настройки нового подключения к MS AD для миграции (Заголовок «Новая миграция»).

Шаг 3

Заполнить поля формы:

  1. В поле «Имя домена» указать полное наименование домена контроллера msad.

  2. Заполнить поле «Контроллер домена», указав корректное наименование контроллера домена msad, с указанием протокола и порта.

  3. В поле «Базовое уникальное имя (base DN)» ввести корректное значение для домена msad.

  4. Чекбокс «Игнорировать ошибки SSL» оставить неактивным.

  5. В поле «Учетная запись для миграции» ввести логин любого администратора домена msad.

  6. В поля «Пароль» и «Подтверждение пароля» ввести пароль администратора, логин которого был указан в поле «Учетная запись для миграции».

Нажать на кнопку «+ Добавить».

Данные для заполнения

  1. «Имя домена» - win12-release.dev-sys-management-unit.astralinux.ru;

  2. «Контроллер домена» - ldap://win2012tmpl.win12-release.dev-sys-management-unit.astralinux.ru:389;

  3. «Базовое уникальное имя (base DN)» - dc=win12-release,dc=dev-sys-management-unit,dc=astralinux,dc=ru;

  4. «Учетная запись для миграции» - astra;

  5. Пароль» и «Подтверждение пароля» = «1qaz@WSX».

Подключение к MS AD для миграции успешно добавлено. Отображено соответствующее уведомление. Администратор перенаправлен в таблицу добавленных подключений к MS AD для миграции, вкладка «Миграции MS AD». Таблица содержит добавленное на данном шаге подключение.

Миграция объектов из MS AD (миграция пользователей)

Требования:

В AD настроены подразделения, как минимум:

  1. <Подразделение А>;

  2. <Подразделение В> - дочернее для <Подразделение А>.

В AD добавлены пользователи, не являющиеся администраторами: <user 1>, <user 2> и <user 3>

В AD добавлены группы (безопасности и/или распространения): группа безопасности <group 1> и группа распространения <group 2>

Настроена вложенность пользователей по группам.

  1. Группа с именем <group 1> пустая

  2. Группа с именем <group 1> входит в группу <group 2>.

  3. Пользователи <user 1> и <user 2> входят в <group 2>.

  4. Пользователи <user 1> и <user 2>, группы <group 1> и <group 2> входят в <Подразделение В>

  5. Пользователь <user 3> входит в <Подразделение А>

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD».

Отображается таблица с перечнем всех MS AD, с которыми настроена миграция объектов.

Шаг 2

Выделить имя домена из п.1 предусловий, нажав на соответствующую строку таблицы. Нажать на кнопку «Настроить и запустить миграцию».

Отображается форма запуска миграции данных из MS AD.

Шаг 3

Заполнить поля формы:

  1. В поле «Подразделение Active Directory» выбрать подразделение А.

  2. В поле «Подразделение ALD Pro» выбрать любое доступное подразделение.

  3. Сделать активными чекбоксы:

  • Организационное Подразделение;

  • Пользователи.

  1. В поле «Пароль пользователя» ввести любое корректное значение пароля, который будет задан мигрированным пользователям.

  2. В поле «Логин» ввести логин администратора ALD Pro из предусловий.

  3. В поле «Пароль» ввести пароль администратора, логин которого был указан в поле «Логин».

Нажать на кнопку «Запустить миграцию».

Запущен процесс миграции объектов из MS AD - отображено соответствующее уведомление об успешно выполненной операции. Пользователь остается на вкладке «Миграции MS AD».

Шаг 4

Перейти: Автоматизация → Задания автоматизации → Вкладка «Журнал заданий».

В журнале отображается сведение о том, что запущен процесс миграции из AD. Значение в столбце «Статус» - «Запущено». Как только миграция завершится, отобразится соответствующее уведомление об успешности выполнения задания. В столбце «Статус» будет установлено значение «Успешно».

Шаг 5

Перейти: Пользователи и компьютеры → Организационная структура.

Отображается страница со структурой подразделений домена. Дерево свернуто - отображается только корень.

Шаг 6

Раскрыть структуру подразделений, нажав на корень. Выбрать подразделение, которое было указано в поле «Подразделение ALD Pro» на шаге №3.

В выбранное подразделение добавлено подразделение A.

Шаг 7

Перейти в карточку подразделения A. Перейти на вкладку «Пользователи».

Таблица содержит только пользователя user3.

Шаг 8

Перейти в карточку подразделения B. Перейти на вкладку «Пользователи».

Таблица содержит пользователей user1 и user2.

Шаг 9

Перейти в карточку пользователя user1, нажав на соответствующую строку таблицы.

Отображена вкладка «Основное» карточки пользователя. Транслитерация логина при миграции выполнена успешно. Поле «Логин» содержит соответствующее значение.

Шаг 10

На любом клиенте домена выполнить вход под любым мигрированным из AD пользователем, указав пароль, заданный в поле «Пароль пользователя» на шаге №3..

Указан верный пароль. Для дальнейшего входа в систему необходиму выполнить сброс временного пароля.

Миграция объектов из MS AD (миграция групп пользователей)

Требования:

  1. В MS AD настроены подразделения, как минимум:

  • Подразделение A - родительское;

  • Подразделение B - дочернее для A.

  1. В MS AD добавлены группы (безопасности и/или распространения):

  • group1 (с любым наименованием на кириллице);

  • group2;

  • group3.

  1. Настроена вложенность:

  • Группы group1 и group3 пустые;

  • Группа group1 входит в group2.

  1. Объекты group1 и group2 входят в подразделение B.

  2. Объект group3 входит в подразделение A.

  3. В системе присутствует УЗ администратора (роль «Главный администратор» или с правами на выполнение миграции из MS AD, на чтение групп пользователей и подразделений), состоящая в группах trust admins и ald trust admin.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD».

Отображается таблица с перечнем всех MS AD, с которыми настроена миграция объектов.

Шаг 2

Выделить имя домена из п.1 предусловий, нажав на соответствующую строку таблицы. Нажать на кнопку «Настроить и запустить миграцию».

Отображается форма запуска миграции данных из MS AD.

Шаг 3

Заполнить поля формы:

  1. В поле «Подразделение Active Directory» выбрать подразделение А.

  2. В поле «Подразделение ALD Pro» выбрать любое доступное подразделение.

  3. Сделать активными чекбоксы:

  • Организационное Подразделение;

  • Группы пользователей.

  1. В поле «Логин» ввести логин администратора ALD Pro из предусловий.

  2. В поле «Пароль» ввести пароль администратора, логин которого был указан в поле «Логин».

Нажать на кнопку «Запустить миграцию».

Запущен процесс миграции объектов из MS AD - отображено соответствующее уведомление об успешно выполненной операции. Пользователь остается на вкладке «Миграции MS AD».

Шаг 4

Перейти: Автоматизация → Задания автоматизации → Вкладка «Журнал заданий».

В журнале отображается сведение о том, что запущен процесс миграции из AD. Значение в столбце «Статус» - «Запущено». Как только миграция завершится, отобразится соответствующее уведомление об успешности выполнения задания. В столбце «Статус» будет установлено значение «Успешно».

Шаг 5

Перейти: Пользователи и компьютеры → Организационная структура.

Отображается страница со структурой подразделений домена. Дерево свернуто - отображается только корень.

Шаг 6

Раскрыть структуру подразделений, нажав на корень. Выбрать подразделение, которое было указано в поле «Подразделение ALD Pro» на шаге №3.

В выбранное подразделение добавлено подразделение A.

Шаг 7

Перейти в карточку подразделения А. Перейти на вкладку « Группы пользователей».

Таблица «Выбранные группы» содержит только группу пользователей group3.

Шаг 8

Перейти в карточку подразделения В. Перейти на вкладку «Группы пользователей».

Таблица «Выбранные группы» содержит только группы пользователей group1 и group2.

Шаг 9

Перейти в карточку группы пользователей group1, нажав на соответствующую строку таблицы.

Отображена вкладка «Основное» карточки группы пользователей. Транслитерация наименования группы при миграции выполнена успешно. Поле «Название группы» содержит соответствующее значение.

Шаг 10

Перейти на вкладку «Группы».

В блоке «Состоят в группах» таблица «Выбранные группы» содержит только группу group2.

Миграция объектов из MS AD (миграция подразделений)

Требования:

  1. В MS AD настроены подразделения, как минимум:

  • Подразделение A - родительское.

  • Подразделение B - дочернее для A.

  • Подразделение С - дочернее для В.

  1. В системе присутствует УЗ администратора (роль «Главный администратор» или с правами на выполнение миграции из MS AD, на чтение подразделений), состоящая в группах trust admins и ald trust admin.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD».

Отображается таблица с перечнем всех MS AD, с которыми настроена миграция объектов.

Шаг 2

Выделить имя домена из п.1 предусловий, нажав на соответствующую строку таблицы. Нажать на кнопку «Настроить и запустить миграцию».

Отображается форма запуска миграции данных из MS AD.

Шаг 3

Заполнить поля формы:

  1. В поле «Подразделение Active Directory» выбрать подразделение А.

  2. В поле «Подразделение ALD Pro» выбрать любое доступное подразделение.

  3. Сделать активными чекбокс «Организационное Подразделение»;

  4. В поле «Логин» ввести логин администратора ALD Pro из предусловий.

  5. В поле «Пароль» ввести пароль администратора, логин которого был указан в поле «Логин».

Нажать на кнопку «Запустить миграцию».

Запущен процесс миграции объектов из MS AD - отображено соответствующее уведомление об успешно выполненной операции. Пользователь остается на вкладке «Миграции MS AD».

Шаг 4

Перейти: Автоматизация → Задания автоматизации → Вкладка «Журнал заданий».

В журнале отображается сведение о том, что запущен процесс миграции из AD. «Дата запуска задания» - содержит дату и время запуска задания на миграцию. «Название задания» - наименование домена, из которого выполняется миграция. Значение в столбце «Статус» - «Запущено», в столбце «Инициатор» - пользователь, запустивший задание. Как только миграция завершится, отобразится соответствующее уведомление об успешности выполнения задания. В столбце «Статус» будет установлено значение «Успешно».

Шаг 5

Перейти: Пользователи и компьютеры → Организационная структура.

Отображается страница со структурой подразделений домена. Дерево свернуто - отображается только корень.

Шаг 6

Раскрыть структуру подразделений, нажав на корень. Выбрать подразделение, которое было указано в поле «Подразделение ALD Pro» на шаге №3.

Дерево подразделений раскрыто. В выбранное подразделение добавлено подразделение A.

Шаг 7

Нажать на подразделение А.

В дереве, под подразделением A, отображается его дочернее подразделение B.

Шаг 8

Нажать на подразделение B.

В дереве, под подразделением B, отображается его дочернее подразделение C.

Настройка доверительных отношений с MS AD (исходящие)

Предусловие прохождения проверки:

Для корректной установки доверительных отношений с MS AD необходимо создать зону перенаправление на КД MS AD, путь:

  1. Перейти в Роли и службы сайта → Служба разрешения имён → вкладка Перенаправление запросов → кнопка «+ Новая зона».

  2. Заполнить поля формы:

  • «Имя зоны» = «Указать имя зоны, которое соответствует наименованию домена WinAD»

  • «Глобальные перенаправители» = ввести в поле IP-адрес зоны перенаправления DNS

  • Остальные поля и параметры оставить без изменений.

В версии 2.4.0 при настройке доверительных отношений необходимо дополнительно выполнить команду -

sudo net conf setparm global «restrict anonymous» «0» и sudo aldproctl restart -i

А после создания доверительных отношений выполнить

rm /var/lib/sss/db/* && systemctl restart sssd

net conf setparm global «restrict anonymous» «2»

sudo aldproctl restart -i

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → кнопка «+ Новое подключение».

Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)

Шаг 2

В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» выбрать радиокнопку «Исходящие» для поля «Тип доверительных отношений».

Радиокнопки выбраны. Отображена иконка-подсказка с предупреждением «При исходящих доверительных отношениях данный домен ALD Pro будет доверяющим по отношению к подключаемому Active Directory».

Шаг 3

Заполнить поля формы:

  1. «Имя домена» — полное наименование домена контроллера MS AD

  2. «Учетная запись» - winadmin.

  3. «Пароль» и «Подтверждение пароля» - пароль от УЗ winadmin.

Нажать на кнопку «+ Добавить».

С указанным MS AD успешно настроены исходящие доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Исходящий»).

Шаг 4

На любом клиенте домена выполнить вход под любой учетной записью пользователя (не администратора) WinAD, с которым были установлены доверительные отношения.

Предварительно выбрать WinAD для входа.

Вход выполнен успешно.

Настройка доверительных отношений с MS AD (двусторонние)

Предусловие прохождения проверки:

Для корректной установки доверительных отношений с MS AD необходимо создать зону перенаправление на КД MS AD, путь:

  1. Перейти в Роли и службы сайта → Служба разрешения имён → вкладка Перенаправление запросов → кнопка «+ Новая зона».

  2. Заполнить поля формы

  • «Имя зоны» = имя домена MS AD;

  • Глобальные перенаправители = IP-адрес КД MS AD, с которым устанавливаются доверительные отношения

  • Остальные поля и параметры оставить без изменений.

  1. Создать зону перенаправления на КД dc01 ALD Pro на машине КД MS AD, с которым устанавливаются доверительные отношения (Пуск → Оснастка «DNS»).

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → кнопка «+ Новое подключение».

Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)

Шаг 2

В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» оставить без изменений радиокнопку «Двусторонние» для поля «Тип доверительных отношений».

Радиокнопки выбраны.

Шаг 3

Заполнить поля формы:

  1. «Имя домена» — полное наименование домена контроллера MS AD

  2. «Учетная запись» - winadmin.

  3. «Пароль» и «Подтверждение пароля» - пароль от УЗ winadmin.

Нажать на кнопку «+ Добавить».

С указанным MS AD успешно настроены двусторонние доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Двусторонний»).

Шаг 4

На любом клиенте домена выполнить вход под любой учетной записью пользователя (не администратора) WinAD, с которым были установлены доверительные отношения.

Предварительно выбрать WinAD для входа.

Вход выполнен успешно.

Миграция из MS AD пользователей по группам

Требования:

В системе присутствует УЗ администратора с ролью «Главный администратор», состоящая в группах trust admins и ald trust admin.

  1. В системе установлено подключение к любому MS AD для миграции (Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD»).

  2. В MS AD настроены подразделения, как минимум:

    1. Подразделение A - родительское;

    2. Подразделение B - дочернее для A.

  3. В MS AD добавлены пользователи, не являющиеся администраторами:

    1. user1 с логином на кириллице;

    2. user2;

    3. user3.

  4. В MS AD добавлены группы (безопасности и/или распространения):

    1. group1 с наименованием на кириллице;

    2. group2.

  5. Настроена вложенность пользователей по группам:

    1. Группа group1 пустая;

    2. Группа group1 входит в group2;

    3. Пользователи user1 и user2 входят в group2.

  6. Объекты user1, user2, group1 и group2 входят в подразделение B.

  7. Пользователь user3 входит в подразделение A.

  8. Пользователь из п.1 выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Вкладка «Миграции MS AD».

Отображается таблица с перечнем всех MS AD, с которыми настроена миграция объектов.

Шаг 2

Заполнить поля формы:

  1. В поле «Подразделение Active Directory» выбрать любое подразделение.

  2. В поле «Подразделение ALD Pro» выбрать любое подразделение.

  3. Сделать активными все чекбоксы:

    1. Группы Пользователей;

    2. Организационное Подразделение;

    3. Пользователи.

  4. В поле «Пароль пользователя» ввести значение пароля, которое будет задано для всех мигрированных пользователей.

  5. В поле «Логин» ввести логин любого администратора ALD Pro.

  6. В поле «Пароль» ввести пароль администратора, логин которого был введен в поле «Логин».

Нажать на кнопку «Запустить миграцию».

Данные для заполнения:

  1. «Подразделение Active Directory» = A

  2. «Подразделение ALD Pro» - выбрать корень

  3. «Пароль» = «12345678»

Запущен процесс миграции объектов из AD.

Шаг 3

Перейти: Автоматизация → Задания автоматизации → Вкладка «Журнал заданий».

В журнале отображается запись о запущенном задании на миграцию из MS AD. Значение в столбце «Статус» - «Запущено». Как только миграция завершится, отобразится соответствующее уведомление об успешности выполнения задания. В столбце «Статус» будет установлено значение «Успешно».

Шаг 4

Перейти: Пользователи и компьютеры → Организационная структура → Карточка подразделения, которое было выбрано на шаге №2 → Вкладка «Пользователи».

Отображена вкладка «Пользователи» выбранного подразделения: таблица содержит всех пользователей, которые были мигрированы из подразделения MS AD, выбранного на шаге №4 - user1 и user2.

Шаг 5

Перейти на вкладку «Группы пользователей».

Таблица содержит все группы пользователей, которые были мигрированы из подразделения MS AD, выбранного на шаге №4 - group1 и group2.

Шаг 6

Перейти: Пользователи и компьютеры → Группы пользователей.

Отображен полный список групп пользователей домена. В таблице присутствуют группы group1 и group2.

Шаг 7

Перейти в карточку group1, вкладка «Пользователи».

Таблица пустая.

Шаг 8

Перейти на вкладку «Группы».

Отображена вкладка «Группы» выбранной группы пользователей:

  1. Таблица «Выбранные группы» блока «Содержит группы» пустая;

  2. Таблица «Выбранные группы» блока «Состоит в группах» содержит группу group2.

Шаг 9

Перейти в карточку group2, вкладка «Пользователи».

Таблица содержит только пользователей user1 и user2.

Шаг 10

Перейти на вкладку «Группы».

Отображена вкладка «Группы» выбранной группы пользователей:

  1. Таблица «Выбранные группы» блока «Содержит группы» содержит группу group1;

  2. Таблица «Выбранные группы» блока «Состоит в группах» пустая.

Шаг 11

Перейти: Пользователи и компьютеры → Пользователи.

Отображается таблица с перечнем всех пользователей домена. Таблица содержит пользователей user1 и user2.

Шаг 12

Перейти в карточку user1, вкладка «Группы».

Таблица «Выбранные группы» содержит только группы ipausers и group2.

Шаг 13

Перейти в карточку пользователя user2, вкладка «Группы».

Таблица «Выбранные группы» содержит только группы ipausers и group2.

Шаг 14

На любой машине домена выполнить вход под пользователем user1, указав логин и пароль (логин = user1; пароль = 12345678).

Отображается окно о необходимости сброса пароля.

Шаг 15

В поле «Пароль» ввести любое значение пароля и повторить его.

Пароль сброшен, вход выполнен успешно.

Шаг 16

Повторить действия с user2.

Пароль сброшен, вход выполнен успешно.

Настройка двухсторонних доверительных отношений

Требования:

  1. В системе развернут как минимум один контроллера домена, который обладает ролью глобального каталога

  2. В инфраструктуре системы присутствует КД MS AD (условное обозначение - msad), с которым не были установлены доверительные отношения.

  3. В системе присутствует УЗ администратора с ролью «Главный администратор» или с правами на создание доверительных отношений.

  4. Пользователь из п.3 выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция доменов → Кнопка «+ Новое подключение».

Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)

Шаг 2

В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» оставить без изменений радиокнопку «Двусторонние» для поля «Тип доверительных отношений».

Радиокнопки выбраны.

Шаг 3

Заполнить поля формы для установки двухсторонних доверительных отношений корректными данными:

  1. Имя домена — полное наименование домена контроллера MS AD

  2. «Учетная запись для доверительных отношений» - winadmin

  3. «Пароль пользователя» и «Подтверждение пароля» - пароль от УЗ winadmin

Нажать на кнопку «+ Добавить».

С указанным MS AD успешно настроены двусторонние доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Двусторонний»).

Шаг 4

Выполнить вход на машину msad под УЗ winadmin.

Вход выполнен успешно.

Шаг 5

Перейти в оснастку «Active Directory - домены и доверие». ПКМ по наименованию домена MS AD msad → Свойства → Вкладка «Отношения доверия».

И в блоке «Домены, которым доверяет этот домен», и в блоке «Домены, которые доверяют этому домену» содержится имя домена ALD Pro.

Шаг 6

Под УЗ администратора выполнить вход в веб-интерфейс FreeIPA и перейти: IPA-сервер → Отношения доверия → Отношения доверия → Карточка msad.

Отображена вкладка «Параметры» выбранного подключения к msad для доверительных отношений. Для параметра «Направление отношения доверия» отображено значение «Двухстороннее отношение доверия».

Подключение контроллера MS AD к модулю синхронизации

Требования:

  1. В инфраструктуре системы присутствует доступный контроллер домена AD (мастер), с которым необходимо установить связь для синхронизации (условное обозначение winad).

  2. В AD winad из п.1 настроена любая структура объектов любого количества и любой вложенности (подразделения, пользователи, группы).

  3. В AD winad из п.1 присутствует учетная запись администратора (условное обозначение winadmin).

  4. В AD winad з п.1 присутствует учетная запись, которой выданы ограниченные права на управление паролями пользователей в домене MS AD.

  5. Для КД AD winad из п.1 получен корректный сертификат (см. «Инструкция по дополнительным настройкам Syncer» в разделе «Полезные инструкции» справочного центра)

  6. В системе ALD Pro не было установлено связей ни с одним AD для синхронизации (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица пустая и содержит заглушку «Данные отсутствуют»).

  7. Пользователь выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD».

Отображена таблица с перечнем добавленных в систему AD, с которыми установлено отношение синхронизации данных. Таблица пустая и не содержит объектов - отображена заглушка «Данные отсутствуют».

Шаг 2

Нажать на кнопку «+ Создать».

Отображается форма добавления нового AD.

Шаг 3

Заполнить поля формы:

  1. «Имя сервера» (обязательное) - наименования КД AD winad.

  2. «Имя пользователя»(обязательное) - указать значение УЗ winadmin в формате логин@домен.

  3. «Пароль»(обязательное) - указать пароль от УЗ winadmin.

  4. «Сертификат»(обязательное) - выбрать файл из п.5 Требования в формате *.pem.

Нажать на кнопку сохранения и подтвердить операцию.

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь остается в карточке добавленного AD - все поля соответствуют заполненным на момент шага №3 данным.

Подключение контроллера домена ALD Pro к модулю синхронизации

Требования:

  1. В системе ALD Pro не был настроен ни один КД ALD Pro на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица пустая и содержит заглушку «Данные отсутствуют»).

  2. Для первого КД ALD Pro получен корректный сертификат (см. «Инструкция по дополнительным настройкам Syncer» в разделе «Полезные инструкции» справочного центра).

  3. Пользователь выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD».

Отображена таблица с перечнем добавленных в систему ALD, с которыми установлено отношение синхронизации данных. Таблица пустая и не содержит объектов - отображена заглушка «Данные отсутствуют».

Шаг 2

Нажать на кнопку «+ Создать».

Отображается форма добавления нового ALD для синхронизации из AD.

Шаг 3

Заполнить поля формы:

  1. «Имя сервера»(обязательное) - поле предназначено для ввода имени КД ALD Pro.

  2. «Имя пользователя»(обязательное) - логин пользователя admin

  3. «Пароль»(обязательное) - указать пароль от УЗ admin.

  4. «Сертификат»(обязательное) - выбрать файл из п.2 Требования в формате *.pem.

Нажать на кнопку сохранения и подтвердить операцию.

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь остается в карточке добавленного ALD - все поля соответствуют заполненным на момент шага №3 данным.

Настройка двухсторонней синхронизации паролей между доменами AD и ALD Pro

Требования:

  1. В инфраструктуре системы присутствует как минимум два доступных контроллера домена AD (мастер и реплика), с которыми может быть установлена связь для синхронизации (условное обозначение winad1 и winad2).

  2. Условное обозначение УЗ администратора - winadmin.

  3. Подключение к данным MS AD может быть настроено в системе ALD Pro (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD»).

  4. На машине winad1 размещена утилита PasswdhkSetup.msi.

  5. В системе ALD Pro был настроен первый КД ALD Pro на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица содержит значение dc01).

  6. В системе ALD Pro получен ключ (Модуль синхронизации → Настройки → Вкладка «Синхронизация паролей»). Данный ключ скопирован в файловую систему winad.

  7. На каждом контроллере домена необходимо установить Visual C++ Redistributable, выполнив Passwdhk_install/util/VC_redist.x64.exe.

  8. Установка passwdhk производится через файл PasswdhkSetup.msi. Утилита должна быть установлена от имени администратора. Поддерживается как ручная установка с вводом ключа, так и автоматизированная с использованием .mst файла (см. Руководство администратора, раздел Автоматизированная установка passwdhk через MST-файл)

Примечание

При переходе с предыдущей версии утилиты необходимо предварительно удалить старую библиотеку passwdhk.dll (см. Руководство администратора, раздел Обновление passwdhk, установленного через групповую политику (GPO), на версию MSI).

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Модуль синхронизации → Настройки → Вкладка «Синхронизация паролей».

Отображена вкладка «Синхронизация паролей», содержащая поле «Номер ключа».

Шаг 2

Нажать на кнопку «Получить ключ».

Запущен процесс получения ключа.

Как только ключ будет получен, соответствующий номер ключа отобразится в поле «Номер ключа», а сам ключ будет загружен в директорию пользователя для загрузки файлов по умолчанию. Файл содержит открытый ключ.

Шаг 3

Открыть на просмотр файл, полученный на шаге №2 (сохранен на компьютере пользователя admin в папку для загрузок по умолчанию).

Файл содержит следующую информацию:

  1. На первой строке отображена версия сформированного ключа. Она соответствует значению поля «Номер ключа» из ОР шага №2.

  2. Со следующей новой строки указан сформированный ключ.

Шаг 4

Под УЗ winadmin выполнить вход на машину winad1.

Вход выполнен успешно.

Шаг 5

Под учётной записью winadmin выполнить установку утилиты passwdhk на машине winad1, запустив PasswdhkSetup.msi от имени администратора.Указать номер ключа, вставить публичный ключ и уровень логирования. После завершения установки перезагрузить контроллер домена.

Утилита установлена, параметры применены, контроллер перезагружен.

Шаг 6

Открыть PowerShell и выполнить команду для принудительного применения групповых политик: gpupdate /force.

Команда успешно выполнена - групповые политики (в том числе и passwdhk) применены.

Шаг 7

Выполнить перезагрузку контроллера домена AD winadmin1 и войти на winad1 под УЗ winadmin.

Машина успешно перезагружена. Вход успешно выполнен.

Шаг 8

Открыть редактор реестра (выполнить поиск по значению «regedit» в меню «Пуск»). В дереве перейти: Компьютер → HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → Lsa.

Редактор реестра успешно открыт. В перечне присутствует объект с наименованием «Notification Pakages», для которого добавлена запись «passwdhk».

Шаг 9

В дереве перейти: Компьютер → HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → Lsa → passwdhk.

Созданы объекты kvnopub, logfile, loglevel, maxlogsize, publickey.

Шаг 10

Под УЗ admin выполнить подключение к КД dc01.

Подключение выполнено успешно.

Шаг 11

В любую директорию (например, /tmp) кладем файл открытого ключа, который был получен в ALD Pro на шаге 6 предусловий.

Файл добавлен в директорию на КД dc01.

Шаг 12

Этот же файл открытого ключа скопировать в /opt/rbta/aldpro/syncer/.

Данные для ввода:

sudo cp /tmp/public.gpg /opt/rbta/aldpro/syncer/

Файл успешно скопирован.

Шаг 13

Выполнить команду sudo ipactl restart.

Команда успешно выполнена.

Настройка сихронизации подразделений

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».

Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.

Шаг 2

Нажать на кнопку «+ Создать».

Отображено модальное окно добавления сопоставления подразделений для синхронизации.

Шаг 3

В блоке «Источник» выбрать значение winad.

Отображен перечень подразделений winad, свернутый до родительских.

Шаг 4

В блоке «Получатель» выбрать значение КД dc01 ALD Pro.

Отображен перечень подразделений ALD Pro, свернутый до родительского.

Для проверки корректного отображения подразделений ALD Pro: в интерфейсе портала управления перейти: Пользователи и компьютеры → Организационная структура.

Шаг 5

В блоке «Источник» нажать на подразделение «А».

Подразделение раскрыто до следующего уровня подразделений - отображено дочернее для А подразделение А1.

Шаг 6

В блоке «Источник» нажать на подразделение «А1».

Подразделение раскрыто до следующего уровня подразделений - отображены дочерние для А1 подразделения А11 и А12.

Шаг 7

В блоке «Источник» нажать на подразделение «В».

Подразделение раскрыто до следующего уровня подразделений - отображены дочерние для В подразделения В1 и В2.

Шаг 8

В блоке «Получатель» нажать на корень подразделения ALD Pro.

Подразделение раскрыто до следующего уровня подразделений - отображены все дочерние для корня подразделения.

Шаг 9

Раскрыть выпадающий список в блоке «Источник».

Отображен выпадающий список с перечнем настроенных в системе подключений.

Шаг 10

Выполнить поиск по выпадающему списку в блоке «Источник» так, чтобы данные были найдены:

  1. Полное наименование winad

  2. Подстроку из наименования winad

Поиск выполнен успешно - в выпадающем списке отображены все найденные значения, наименование которых полностью или частично содержит строку поиска.

Шаг 11

Раскрыть выпадающий список в блоке «Получатель».

Отображен выпадающий список с плоским полным перечнем подключений к ALD Pro.

Шаг 12

Выполнить поиск по выпадающему списку в блоке «Получатель» так, чтобы данные были найдены:

  1. Полное наименование любого настроенного подключения к ALD Pro

  2. Подстроку из наименования любого настроенного подключения к ALD Pro

Поиск выполнен успешно - в выпадающем списке отображены все найденные подключения, наименование которых полностью или частично содержит строку поиска.

Шаг 13

В дереве подразделений блока «Источник» выбрать любое доступное подразделение MS AD, для которого еще не задано сопоставление.

Подразделение выделено в дереве.

Шаг 14

В дереве подразделений блока «Получатель» выбрать любое доступное подразделение ALD Pro, для которого еще не задано сопоставление. Нажать на кнопку сохранения и подтвердить операцию.

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений».

Шаг 15

Перейти на вкладку «Структура дерева синхронизации».

Вкладка содержит часть дерева подразделений AD, с которым настроена синхронизация.

Обработка конфликтов синхронизации

Требования:

  1. В инфраструктуре системы присутствуют как минимум один контроллер домена AD (мастер). Условное обозначение — winad. Настроена групповая политика паролей.

  2. В системе ALD Pro была установлена связь для синхронизации с winad. Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица содержит значение winad.

  3. В системе ALD Pro был настроен КД ALD Pro (условное обозначение - dc01) на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица содержит значение dc01).

  4. В системе настроены как минимум по умолчанию атрибуты и соответствующие сопоставления:

    1. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Атрибуты AD» - таблица содержит как минимум атрибуты по умолчанию.

    2. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Атрибуты ALD» - таблица содержит как минимум атрибуты по умолчанию.

    3. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений» - таблица содержит как минимум сопоставления по умолчанию.

  5. В winad настроена структура подразделений, которая содержит как минимум:

    1. Подразделение А - родительское

    2. Подразделение А1 - дочернее для A

    3. Подразделение А11 - дочернее для A1

    4. Подразделение А12 - дочернее для А1

    5. Подразделение А121 - дочернее для А12

    6. Все подразделения выше содержат как минимум по одной любой УЗ любого пользователя и по одной любой группе.

  6. В системе ALD Pro настроена структура подразделений - как минимум создано подразделение X, являющееся дочерним для корня.

  7. В системе не настроена синхронизация подразделения А (и всех его дочерних) AD и любого подразделения ALD Pro.

  8. В системе ALD Pro созданы следующие объекты (привязаны к любому подразделению) - любой пользователь aldprouser и любая группа пользователей aldprogroup.

  9. Среди объектов подразделения А и всех его дочерних (пункт 6.6) отсутствуют пользователи с логином пользователя aldprouser и группы пользователей с наименованием aldprogroup.

  10. В winad присутствует УЗ администратора (условное обозначение - winadmin).

  11. Пользователь выполнил вход на портал управления.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».

Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.

Шаг 2

Нажать на кнопку «+ Создать».

Отображена модальное окно добавления нового сопоставления подразделений AD и ALD Pro.

Кнопка «Проверить наличие конфликтов» недоступна для редактирования - необходимо выбрать «Источник» и «Получатель» для проверки конфликтов.

Шаг 3

В выпадающем списке «Источник» выбрать значение А.

В выпадающем списке «Получатель» выбрать значение X.

Нажать на кнопку «Проверить наличие конфликтов».

Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro.

Как только проверка будет выполнена, отобразится уведомление о результатах - конфликтов нет.

Шаг 4

Под УЗ winadmin выполнить вход на машину winad.

Вход выполнен успешно.

Шаг 5

Перейти в оснастку «Active Directory - пользователи и компьютеры». Выбрать контейнер А (либо любое его дочернее подразделение) и создать новые объекты:

  1. Пользователя с логином aldprouser (остальные данные заполнить любыми корректными значениями).

  2. Группу с наименованием aldprogroup (остальные данные заполнить любыми корректными значениями).

Объекты успешно добавлены.

Шаг 6

Перейти в модальное окно добавления сопоставления, которая была открыта на шаге №3. Нажать на кнопку «Проверить наличие конфликтов» повторно.

Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro.

Как только проверка будет выполнена, отобразится информационное уведомление о найденных конфликтах - «Были обнаружены конфликты синхронизации. Скачать список конфликтов».

При нажатии на ссылку «Скачать список конфликтов» в уведомлении будет сформирован и скачан в директорию для загрузок по умолчанию файл в формате .csv, содержащий полный перечень конфликтов. Данный файл содержит следующие данные:

  1. AD NAME - наименование «конфликтного» объекта в домене MS AD

  2. ALD NAME - наименование «конфликтного» объекта в домене ALD Pro

  3. AD DN - DN «конфликтного» объекта в AD

  4. ALD DN - DN «конфликтного» объекта в ALD

Файл содержит информацию об объектах aldprouser и aldprogroup домена ALD Pro и объектах MS AD, которые были созданы на шаге №5.

Шаг 7

Удалить объекты aldprouser и aldprogroup из системы ALD Pro:

  1. Пользователи и компьютеры → Пользователи → Карточка пользователя aldprouser. Затем: Пользователи и компьютеры → Корзина → Карточка aldprouser.

  2. Пользователи и компьютеры → Группы пользователей → Карточка группы aldgroup.

Пользователь aldprouser и группа пользователей aldprogroup успешно безвозвратно удалены из системы ALD Pro.

Шаг 8

Перейти в модальное окно добавления сопоставления, которая была открыта на шаге №3. Нажать на кнопку «Проверить наличие конфликтов» повторно.

Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro.

Как только проверка будет выполнена, отобразится уведомление о результатах - конфликтов нет.

Шаг 9

Нажать на кнопку «Сохранить» и подтвердить операцию.

Запущен механизм синхронизации объектов из подразделения А ALD Pro (и всех его дочерних) в подразделение X ALD Pro.

Шаг 10

Перейти: Модуль синхронизации → Источники → Вкладка «Структура дерева синхронизации». Раскрыть подразделения, выбрав те подразделения, в которых были созданы объекты на шаге №5.

Таблица «Объекты» содержит перечень объектов из выбранного подразделения, которые будут синхронизированы в ALD Pro. Пользователь aldprouser и группа пользователей aldprogroup присутствуют в таблице.

Кнопка «Проверить наличие конфликтов» активна.

Шаг 11

Перейти: Пользователи и компьютеры → Организационная структура. Раскрыть подразделение Х и просмотреть все его дочерние подразделения и соответствующие объекты (пользователи и группы пользователей) в его карточке.

Синхронизация произошла успешно - в ALD Pro добавлены все соответствующие подразделения, пользователи и группы пользователей с сохранением вложенности и значений в атрибутах сопоставления.

Пользователь aldprouser и группа пользователей aldprogroup синхронизированы из MS AD.

Шаг 12

Перейти: Модуль синхронизации → Источники → Вкладка «Структура дерева синхронизации». Нажать на кнопку «Проверить наличие конфликтов».

Запущен механизм поиска конфликтов между объектами подразделений AD и всех объектов ALD Pro.

Как только проверка будет выполнена, отобразится уведомление о результатах проверки:

  1. Если aldprouser и aldprogroup были единственными конфликтами, то конфликты не обнаружены.

  2. Иначе - сформирован файл, который не содержит объекты aldprouser и aldprogroup.

Синхронизация паролей, подразделений, пользователей и групп пользователей

Требования:

  1. В системе ALD Pro присутствует учетная запись администратора с ролью «Главный администратор» или «Администратор информационной безопасности».

  2. В инфраструктуре системы присутствует как минимум один доступный контроллер домена AD (мастер), с которым была установлена связь для синхронизации (условное обозначение winad). Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица содержит значение winad.

  3. Условное обозначение УЗ администратора - winadmin.

  4. Условное обозначение УЗ любого обычного пользователя (пароль которого не просрочен) - winuser1.

  5. Условное обозначение УЗ любого обычного пользователя (пароль которого не сброшен) - winuser2.

  6. Пользователи winuser1 и winuser2 находятся в подразделении А.

  7. Настроена групповая политика паролей.

  8. В домен ALD Pro введен как минимум один любой компьютер с графической оболочкой (условное обозначение - client).

  9. В системе ALD Pro настроена структура подразделений - как минимум создано подразделение B, являющееся дочерним для корня.

  10. В системе ALD Pro настроено сопоставление подразделений для синхронизации (Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений»): Источник — А, Получатель B

  11. Пользователи успешно синхронизированы с ALD Pro.

Шаги проверки

Ожидаемый результат

Шаг 1

Под УЗ winuser1 выполнить вход на клиент client, указав соответствующий пароль от данной УЗ в winad.

Система не предлагает сбросить пароль, вход на клиент выполнен успешно - создана домашняя директория, отображен рабочий стол.

Шаг 2

Под УЗ winuser1 выполнить вход на портал управления ALD Pro, указав соответствующий пароль от данной УЗ в winad.

Вход выполнен успешно, отображается личный кабинет пользователя.

Шаг 3

Повторить шаги 1-2 под УЗ winuser2

ОР соответствует шагам 1-2

Шаг 4

Выполнить вход на машину winad под УЗ winadmin.

Вход выполнен успешно.

Шаг 5

Добавить двух новых пользователей в подразделение А:

  1. Перейти в оснастку «Active Directory - Пользователи и компьютеры».

  2. В левой части формы выбрать подразделение А.

  3. Нажать на кнопку [Создание нового пользователя в текущем контейнере].

  4. В отобразившемся окне заполнить все поля любыми корректными значениями (Имя входа пользователя не должно дублировать логин ни одного из созданных в ALD Pro пользователей). Нажать «Далее».

  5. Указать любой корректный пароль, соответствующий политике паролей AD и ALD Pro.

  6. Чекбокс «Требовать смены пароля при следующем входе в систему» оставить активным. Нажать «Далее».

  7. Нажать «Готово».

Пользователи успешно созданы и отображаются в правой части окна.

Шаг 6

Под УЗ пользователей, которые были созданы на шаге №5, выполнить вход на клиент client и на портал управления ALD Pro, указав соответствующий пароль от данной УЗ в winad.

Система не предлагает сбросить пароль, вход на клиент выполнен успешно - создана домашняя директория, отображен рабочий стол.

На портал вход выполнен успешно, отображается личный кабинет пользователя.

Шаг 7

Перейти: Пользователи и компьютеры → Организационная структура.

Перейти в карточку подразделения A1, которое является дочерним для подразделения Х (выбрать его в дереве и нажать на кнопку «Редактировать», либо на иконку ссылки перехода в дереве).

Отображена карточка выбранного подразделения, вкладка «Основное».

Шаг 8

Выполнить подключение к LDAP.

Подключение выполнено успешно.

Шаг 9

Перейти: [корень] → cn=accounts → cn=orgunits.

$ ldapsearch -Q -LLL -b cn=orgunits,cn=accounts,$SUFFIX -o ldif-wrap=no dn

Раскрыта директория подразделений - отображены дочерние для корня подразделения. В перечне присутствует подразделение X.

Шаг 10

Перейти в карточку подразделения А1

Отображена карточка выбранного подразделения. Атрибут ou содержит наименование данного подразделения в winad. Остальные атрибуты содержат значения, которые были получены из winad при наличии соответствующих заданных сопоставлениях и атрибутах.

Шаг 11

Выполнить вход на машину winad под УЗ winadmin.

Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А1: ПКМ → Свойства → Вкладка «Редактор атрибутов».

Отображена форма настройки значений атрибутов подразделения А1.

Шаг 12

Изменить значения в любых доступных атрибутах подразделения А1, которые добавлены для сопоставлений в таблице системы ALD Pro (Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений»).

При этом, указанные значения должны быть валидными для соответствующих атрибутов-«получаетелей» подразделений ALD Pro.

Изменения успешно сохранены. В таблице virtual_tree (схема schema_provider) внесены соответствующие изменения: в столбце master_attributes для измененных подразделений изменены значения отредактированных атрибутов.

Шаг 13

На портале управления ALD Pro перейти: Пользователи и компьютеры → Организационная структура. Раскрыть подразделение Х и все его дочерние.

Перейти в карточку А1.

Отображена карточка подразделения A1, вкладка «Основное». Если на шаге №12 были внесены изменения в атрибуты, поля которых представлены в интерфейсе портала управления на вкладке «Основное» карточки подразделения, то соответствующие изменения значений отображены в данных полях.

Шаг 14

Выполнить подключение к LDAP и перейти: [корень] → cn=accounts → cn=orgunits → подразделение Х → подразделение А1.

Если запрос с отправляется с контроллера домена:

$ DOMAIN=$(grep ^search /etc/resolv.conf|cut -d „ „ -f2)

Если запрос выполняется на клиенте:

$ DOMAIN=[полное имя домена]

$ ldapsearch -Q -LLL -b ou=[подразделение А1],ou=[подразделение X],ou=$DOMAIN,cn=orgunits,cn=accounts,$SUFFIX -o ldif-wrap=no

Отображена карточка выбранного подразделения. Все атрибуты, которые были изменены на шаге №12, содержат соответствующие обновленные значения.

Шаг 15

Перейти: Пользователи и компьютеры → Пользователи в карточку пользователя, который был мигрирован из подразделения A winad.

Отображена карточка выбранного пользователя, вкладка «Основное».

Шаг 16

Перейти на вкладки «Расширенные настройки» и «Группы»

Отображаются соответствующие вкладки.

Шаг 17

Выполнить подключение к LDAP.

Подключение выполнено успешно.

Шаг 18

Перейти в карточку пользователя из шага №15: [корень] → cn=accounts → cn=users → карточка пользователя.

$ ldapsearch -Q -LLL -b cn=users,cn=accounts,$SUFFIX -o ldif-wrap=no uid=»[логин пользователя]»

Отображена карточка выбранного пользователя

Шаг 19

Выполнить вход на машину winad под УЗ winadmin.

Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А. В правой части формы выбрать пользователя, который был мигрирован в ALD Pro: ПКМ → Свойства → Вкладка «Редактор атрибутов».

Отображена форма настройки значений атрибутов пользователя подразделения А.

Шаг 20

Изменить значения в любых доступных атрибутах выбранного пользователя, которые добавлены для сопоставлений в таблице системы ALD Pro (Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений»).

При этом, указанные значения должны быть валидными для соответствующих атрибутов-«получателей» пользователей ALD Pro.

Изменения успешно сохранены. В таблице virtual_tree (схема schema_provider) внесены соответствующие изменения. В столбце master_attributes для измененных пользователей изменены значения отредактированных атрибутов.

Шаг 21

На портале управления перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя, который был изменен в AD на шаге №20.

Отображена карточка пользователя, вкладка «Основное». Изменения, внесенные на шаге №20, отображаются в карточке.

Шаг 22

Выполнить подключение к LDAP и перейти: [корень] → cn=accounts → cn=users → пользователь из шага №21.

$ ldapsearch -Q -LLL -b cn=users,cn=accounts,$SUFFIX -o ldif-wrap=no uid=»[логин пользователя]»

Отображена карточка выбранного пользователя. Все атрибуты, которые были изменены на шаге №20, содержат соответствующие обновленные значения.

Шаг 23

Перейти: Пользователи и компьютеры → Группы пользователей.

Таблица содержит полный перечень групп пользователей домена, в том числе и тех групп пользователей, которые были мигрированы из winad подразделения А и его дочерних

Шаг 24

Выполнить шаги 15-22 для групп пользователей

ОР соответствует шагам 15-22.

Подключение к ALD Pro (исходящие доверительные отношения): добавление и удаление

Требования:

  1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.4.0 или выше):

    1. ald1.trust

    2. ald2.trust

  2. В домене ald1.trust не настроены доверительные отношения с доменом ald2.trust (и наоборот).

  3. В доменах присутствуют следующие учетные записи пользователей (пароли от данных УЗ сброшены и активны):

    1. admin1 - обладает ролью «Главный администратор» в домене ald1.trust;

    2. admin2 - обладает ролью «Главный администратор» в домене ald2.trust.

  4. Для домена ald1.trust добавлена зона перенаправления на домен ald2.trust.

  5. Пользователь из п.3.1 выполнил вход на портал управления домена ald1.trust.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Кнопка «+ Новое подключение «.

Отображена форма добавления нового подключения к ALD Pro для установки доверительных отношений.

Шаг 2

В поле «Тип домена» оставить без изменений радиокнопку «ALD Pro». В блоке «Настройки доверия» в поле «Тип доверия» выбрать радиокнопку «Исходящие».

Радиокнопки выбраны.

Шаг 3

В поле «Имя домена» ввести имя домена ald2.trust.

В поле «Учетная запись» ввести логин пользователя admin2.

В поля «Пароль» и «Подтверждение пароля» ввести корректное значение пароля от УЗ admin2 домена ald2.trust.

Нажать на кнопку «+ Добавить».

Запущен процесс добавления нового подключения к домену ALD Pro ald2.trust. Операция завершена успешно - отображено соответствующее уведомление, пользователь перенаправлен на вкладку «Подключения к доменам ALD Pro».

Шаг 4

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 5

Перейти: Управление доменом → Интеграция с доменами

Таблица содержит значение домена ald1.trust. В столбце «Тип доверия» отображено значение «Входящий».

Шаг 6

Под УЗ admin1 выполнить вход на портал управления домена ald1.trust. Перейти: Управление доменом → Интеграция с доменами.

Отображена вкладка «Доверительные отношения». Таблица содержит как минимум домен ald2.trust с типом доверия «Исходящий».

Шаг 7

Выделить домен в таблице и нажать на иконку «Удалить»

Отображено модальное окно для ввода логина и пароля от УЗ администратора домена ald2.trust для удаления подключения.

Шаг 8

Заполнить поля модального окна:

  1. В поле «Логин» ввести значение логина администратора admin2;

  2. В поле «Пароль» ввести корректное значение логина администратора admin2.

Нажать на кнопку «Удалить».

Удаление выполнено успешно - отображено соответствующее уведомление. Пользователь остается на вкладке «Доверительные отношения». Подключение к ald2.trust в таблице отсутствует.

Шаг 9

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 10

Перейти: Управление доменом → Интеграция с доменами.

Отображена таблица с перечнем доменов, с которыми настроены доверительные отношения. Домен ald1.trust в таблице отсутствует.

Шаг 11

Перезагрузить компьютер client. После выполнения перезагрузки - выбрать на нем домен ald2.trust.

Домен отсутствует.

Подключение к ALD Pro (двусторонние доверительные отношения): добавление и удаление

Требования:

  1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.4.0 или выше):

    • ald1.trust

    • ald2.trust

  2. В домене ald1.trust не настроены доверительные отношения с доменом ald2.trust (и наоборот).

  3. В доменах присутствуют следующие учетные записи пользователей (пароли от данных УЗ сброшены и активны):

    • admin1 - обладает ролью «Главный администратор» домене ald1.trust;

    • admin2 - обладает ролью «Главный администратор» в домене ald2.trust.

  4. Для домена ald1.trust добавлена зона перенаправления на домен ald2.trust.

  5. Для домена ald2.trust добавлена зона перенаправления на домен ald1.trust.

  6. Пользователь из п.3.1 выполнил вход на портал управления домена ald1.trust.

Шаги проверки

Ожидаемый результат

Шаг 1

Перейти: Управление доменом → Интеграция с доменами → Кнопка «+ Новое подключение».

Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»).

Шаг 2

В поле «Тип домена» оставить без изменений радиокнопку «ALD Pro». В блоке «Настройки доверия» в поле «Тип доверия» оставить без изменений радиокнопку «Двусторонние».

Радиокнопки выбраны.

Шаг 3

Заполнить форму добавления нового подключения к ALD Pro:

  1. Имя домена

  2. Учетная запись для доверительных отношений

  3. Пароль и подтверждение пароля

Нажать на кнопку «Добавить».

Данные:

  1. Домен ald2.trust

  2. Учетная запись для доверительных отношений admin2

Запущен процесс добавления нового подключения к домену ALD Pro ald2.trust. Операция завершена успешно - отображено соответствующее уведомление.

Пользователь перенаправлен на вкладку «Доверительные отношения».

Шаг 4

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 5

Перейти: Управление доменом → Интеграция с доменами.

Таблица содержит значение домена ald1.trust. В столбце «Тип доверия» отображено значение «Двусторонний».

Шаг 6

Под УЗ admin1 выполнить вход на портал управления домена ald2.trust. Перейти: Управление доменом → Интеграция с доменами.

Отображена вкладка «Доверительные отношения». Таблица содержит как минимум домен ald2.trust с типом доверия «Двусторонний».

Шаг 7

Выделить домен и нажать на кнопку «Удалить»

Отображено модальное окно для ввода логина и пароля от УЗ администратора домена ald2.trust для удаления подключения.

Шаг 8

Заполнить поля модального окна:

  1. В поле «Логин» ввести значение логина администратора admin2;

  2. В поле «Пароль» ввести корректное значение логина администратора admin2.

Нажать на кнопку «Удалить».

Удаление выполнено успешно - отображено соответствующее уведомление. Пользователь остается на вкладке «Доверительные отношения». Подключение к ald2.trust в таблице отсутствует. Количество подключений в футере уменьшено на 1.

Шаг 9

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 10

Перейти: Управление доменом → Интеграция с доменами

Отображена таблица с перечнем доменов, с которыми настроены доверительные отношения. Домен ald1.trust в таблице отсутствует.

Шаг 11

Перезагрузить компьютеры client1 и client2. На client1 и client2 выбрать домен ald2.trust.

Перезагрузка выполнена успешно.

Домен отсутствует.

Авторизация на клиенте домена ald1 ALD Pro (двусторонние доверительные отношения)

Требования:

  1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

    1. ald1.trust

    2. ald2.trust

  2. В домене ald1.trust настроены Двусторонние доверительные отношения с доменом ald2.trust.

  3. В домене ald2.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

    1. admin2 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

    2. user2 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

  4. В домене ald1.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки

Ожидаемый результат

Шаг 1

На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.

В перечне присутствуют как минимум следующие домены:

  1. ald1.trust (текущий домен)

  2. ald2.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия)

Шаг 2

Выбрать домен ald2.trust.

  1. В поле для ввода логина ввести логин пользователя admin2.

  2. В поле для ввода пароля ввести пароль от УЗ admin2.

  3. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 3

Выйти из сессии пользователя admin2.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести пароль пользователя user2.

  3. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 4

В поле для ввода пароля ввести корректный пароль от УЗ user2. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 5

Выйти из сессии пользователя user2.

Выход выполнен успешно.

Шаг 6

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 7

Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».

Отображена форма создания новой УЗ пользователя в домене ald2.trust.

Шаг 8

Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.

Новая учетная запись пользователя в домене ald2.trust создана успешно.

Шаг 9

Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user2.

  1. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями.

  2. Нажать на кнопку «Сбросить пароль».

Администратор успешно сбросил пароль для пользователя user2 (задан временный пароль).

Шаг 10

На портале управления ald2.trust выполнить выход из сессии пользователя admin2.

  1. Выполнить вход под УЗ пользователя user2.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя user2 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.

Шаг 11

На портале управления ald2.trust выполнить выход из сессии пользователя user2.

  1. Выполнить вход под УЗ пользователя, который был создан на шаге №7.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.

Шаг 12

Вернуться на компьютер client домена ald1.trust - шаг №3.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user2.

  3. В поле для ввода пароля ввести новый пароль от УЗ user2, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 13

Выйти из сессии пользователя user2.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя, который был создан на шаге №7.

  3. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Авторизация на клиенте домена ald2 ALD Pro (двусторонние доверительные отношения)

Требования:

  1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

    1. ald1.trust

    2. ald2.trust

  2. В домене ald2.trust настроены Двусторонние доверительные отношения с доменом ald2.trust.

  3. В домене ald1.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

    1. admin1 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

    2. user1 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

  4. В домене ald2.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки

Ожидаемый результат

Шаг 1

На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.

В перечне присутствуют как минимум следующие домены:

  1. ald1.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия)

  2. ald2.trust (текущий домен)

Шаг 2

Выбрать домен ald1.trust.

  1. В поле для ввода логина ввести логин пользователя admin1.

  2. В поле для ввода пароля ввести пароль от УЗ admin1.

  3. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald1.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 3

Выйти из сессии пользователя admin1.

  1. Выбрать домен ald1.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user1. В поле для ввода пароля ввести пароль пользователя user1.

  3. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.

Шаг 4

В поле для ввода пароля ввести корректный пароль от УЗ user1. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.

Шаг 5

Выйти из сессии пользователя user1.

Выход выполнен успешно.

Шаг 6

Под УЗ admin1 выполнить вход на портал управления домена ald1.trust.

Вход выполнен успешно.

Шаг 7

Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».

Отображена форма создания новой УЗ пользователя в домене ald1.trust.

Шаг 8

Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.

Новая учетная запись пользователя в домене ald1.trust создана успешно.

Шаг 9

Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user1.

  1. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями.

  2. Нажать на кнопку «Сбросить пароль».

Администратор успешно сбросил пароль для пользователя user1 (задан временный пароль).

Шаг 10

На портале управления ald1.trust выполнить выход из сессии пользователя admin1.

  1. Выполнить вход под УЗ пользователя user1.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя user1 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald1.trust.

Шаг 11

На портале управления ald1.trust выполнить выход из сессии пользователя user1.

  1. Выполнить вход под УЗ пользователя, который был создан на шаге №7.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald1.trust.

Шаг 12

Вернуться на компьютер client домена ald2.trust - шаг №3.

  1. Выбрать домен ald1.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user1.

  3. В поле для ввода пароля ввести новый пароль от УЗ user1, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.

Шаг 13

Выйти из сессии пользователя user2.

  1. Выбрать домен ald1.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя, который был создан на шаге №7.

  3. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.

Авторизация в доверенном домене ALD Pro (исходящие доверительные отношения)

Требования:

  1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

    1. ald1.trust

    2. ald2.trust

  2. В домене ald1.trust настроены Исходящие доверительные отношения с доменом ald2.trust.

  3. В домене ald2.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

    1. admin2 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

    2. user2 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

  4. В домене ald1.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки

Ожидаемый результат

Шаг 1

На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.

В перечне присутствуют как минимум следующие домены:

  1. ald1.trust (текущий домен)

  2. ald2.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия)

Шаг 2

Выбрать домен ald2.trust.

  1. В поле для ввода логина ввести логин пользователя admin2.В поле для ввода пароля ввести пароль от УЗ admin2

  2. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 3

Выйти из сессии пользователя admin2.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести пароль пользователя user2.

  3. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 4

В поле для ввода пароля ввести корректный пароль от УЗ user2. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 5

Выйти из сессии пользователя user2.

Выход выполнен успешно.

Шаг 6

Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.

Вход выполнен успешно.

Шаг 7

Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».

Отображена форма создания новой УЗ пользователя в домене ald2.trust.

Шаг 8

Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.

Новая учетная запись пользователя в домене ald2.trust создана успешно.

Шаг 9

Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user2.

  1. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями.

  2. Нажать на кнопку «Сбросить пароль».

Администратор успешно сбросил пароль для пользователя user2 (задан временный пароль).

Шаг 10

На портале управления ald2.trust выполнить выход из сессии пользователя admin2.

  1. Выполнить вход под УЗ пользователя user2.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя user2 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.

Шаг 11

На портале управления ald2.trust выполнить выход из сессии пользователя user2.

  1. Выполнить вход под УЗ пользователя, который был создан на шаге №7.

  2. Выполнить сброс пароля на любой корректный.

Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.

Шаг 12

Вернуться на компьютер client домена ald1.trust - шаг №3.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя user2.

  3. В поле для ввода пароля ввести новый пароль от УЗ user2, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Шаг 13

Выйти из сессии пользователя user2.

  1. Выбрать домен ald2.trust (если он не выбран).

  2. В поле для ввода логина ввести логин пользователя, который был создан на шаге №7.

  3. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10.

  4. Выполнить вход, нажав на соответствующую кнопку.

Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Синхронизация пользователей и группы пользователей ALD Pro с глобальным каталогом

Предварительные условия, выполняемые по умолчанию:

  1. Установка/обновление ALD Pro выполнена с глобальным каталогом (см. пункт 4.1 Руководства администратора)

  2. Проверить вывод команды sudo aldproctl status на КД: должны присутствовать строки «dirsrv@GLOBAL-CATALOG Service: RUNNING» и «ipa-gcsyncd Service: RUNNING»

Шаги проверки

Ожидаемый результат

Шаг 1

Выполнить подключение к глобальному каталогу.

$ HOST=$(grep ^nameserver /etc/resolv.conf|cut -d „ „ -f2)

$ ldapsearch -Q -LLL -H ldap://$HOST:3268 -s base

Для подключения к глобальному каталогу посредством Apache Directory Studio использовать следующие данные:

  1. Connection name = любое уникальное значение

  2. Hostname = машина, на которой развернут первый контроллер домена ALD Pro (dc01)

  3. Port = 3268

  4. Bind DN or user = «cn = Directory Manager»

  5. Bind password - пароль от УЗ admin, который был задан при установке системы

Подключение выполнено успешно.

Шаг 2

Перейти в директорию cn=users.

$ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name uidNumber gidNumber

Директория содержит полный перечень пользователей и внешних групп пользователей домена.

Шаг 3

Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи.

Отображена таблица с перечнем пользователей домена.

Шаг 4

Добавить минимум 10 различных пользователей:

  1. Нажать на кнопку «+ Создать».

  2. Заполнить поля любыми корректными уникальными значениями.

  3. Нажать на кнопку «Сохранить» и подтвердить операцию.

Пользователи успешно добавлены в домен ALD Pro и отображаются в таблице.

Шаг 5

Выполнить подключение к глобальному каталогу и перейти в директорию cn=users (повторить шаг №2).

Директория содержит полный перечень пользователей и внешних групп пользователей домена - к объектам, которые были отображены на шаге №2, также синхронизированы пользователи, которые были созданы на шаге №4.

Шаг 6

В глобальном каталоге перейти в карточку любого пользователя, который был создан на шаге №4.

$ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name=[логин произвольного пользователя]

Отображена карточка выбранного пользователя.

Шаг 7

Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи. Перейти в карточку любого пользователя (кроме admin) и внести любые корректные изменения в следующие поля:

  1. Имя

  2. Фамилия

  3. Отображаемое имя

  4. Электронный адрес сотрудника

Нажать на кнопку «Сохранить» и подтвердить операцию.

Пользователь успешно изменен.

Шаг 8

Выполнить подключение к глобальному каталогу и перейти в карточку пользователя, который был изменен на шаге №7 (повторить шаг №6).

Атрибуты, соответствующие измененным на шаге №7 полям, содержат обновленные данные.

Шаг 9

Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи. Удалить любое количество любых пользователей (кроме admin).

Пользователи успешно удалены.

Шаг 10

Выполнить подключение к глобальному каталогу и перейти в директорию cn=users (повторить шаг №2).

Пользователи, которые были удалены на шаге №9, отсутствуют в директории cn=users.

Шаг 11

Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи → Форма создания нового пользователя. Заполнить поля любыми корректными значениями, при этом в поле «Имя» и «Фамилия» указать значения, которые уже заданы для любого пользователя домена ALD Pro. Нажать на кнопку сохранить и подтвердить операцию.

Пользователь успешно создан.

Шаг 12

Выполнить подключение к глобальному каталогу и перейти в директорию cn=users.

$ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name uidNumber gidNumber displayName

Пользователь, добавленный на шаге №11, отображен в глобальном каталоге.

Шаг 13

Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Группы пользователей.

Отображена таблица с перечнем всех групп пользователей домена (содержит и внутренние, и внешние группы).

Шаг 14

Повторить шаги 4-12 для групп пользователей.

После выполнить команду:

$ unset HOST

ОР соответствует шагам 4-12

Обработка запрещенных символов при синхронизации группы

Шаги проверки

Ожидаемый результат

Шаг 1

Выполнить вход на машину winad под УЗ winadmin.

Вход выполнен успешно.

Шаг 2

Перейти в оснастку «Active Directory - Пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.

Отображается содержимое подразделения «Подразделение А».

Шаг 3

Нажать ПКМ > Создать > Группа;

  1. Заполнить поле:

    • «Имя группы» = «,;:!?“»»«(){}[]$# №%@&|/ tn^=+*<>».

  2. Нажать кнопку «OK».

Созданная группа отображается в подразделении «Подразделение А».

Шаг 4

Перейти в карточку созданной группы. Заполнить поле «Описание».

  1. «Описание» = «Описание№»«tn{}|».

  2. Нажать на кнопку «Применить».

Значение поля «Описание» изменено.

Шаг 5

На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».

Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.

Шаг 6

Нажать на кнопку «+ Создать»;

  1. В поле «Источник» выбрать подразделение AD - «Подразделение A»;

  2. В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»;

  3. Нажать на кнопку «Сохранить».

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи.

Первая:

  1. Столбец «Источник» - содержит значение «Подразделение А».

  2. Столбец «Получатель» - содержит значение «Подразделение Х».

Вторая (данная запись создана для обратной синхронизации паролей пользователей):

  1. Столбец «Источник» - содержит значение «Подразделение Х».

  2. Столбец «Получатель» - содержит значение «Подразделение А».

Шаг 7

Перейти: Пользователи и компьютеры → Группы пользователей → Карточка группы, которая была создана в AD на шаге №3.

Отображается карточка группы пользователей.Поля карточки содержат следующие значения:

  1. «Название группы» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.p. n.o.r.s.t.u.v.y.z.a_b_c_d_e_f_h_g_» произведена замена запрещенных символов в поле «Имя группы» в AD

  2. «Описание» отображается значение «Описаниеo.g.h.a_b_j.k.u.» произведена замена запрещенных символов в поле «Описание» группы в AD.

Обработка запрещенных символов при синхронизации пользователей

Шаги проверки

Ожидаемый результат

Шаг 1

Выполнить вход на машину winad под УЗ winadmin.

Вход выполнен успешно.

Шаг 2

Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.

Отображается содержимое подразделения «Подразделение А».

Шаг 3

Нажать ПКМ > Создать > Пользователь;

Заполнить поле:

  1. «Имя» = «,;:!?“»»«(){}[]# №%@&|/tn^=+*<>»;

  2. «Фамилия» = «,;:!?“»»«(){}[]# №%@&|/tn^=+*<>»;

  3. «Имя входа пользователя» = «log!“»«(){}$#%& ^».

    • Нажать кнопку «Далее».

    • Указать любой корректный пароль.

    • Сохранить.

Созданный пользователь отображается в подразделении «Подразделение А».

Шаг 4

В AD: Перейти в карточку пользователя, созданного на шаге №3 → Вкладка «Редактор атрибутов».

  1. Заполнить атрибуты пользователя:

    • «displayName» = «Имя№»«tn{}|»;

    • «title» = «Должность№»«tn{}|»;

    • «streetAddress» = «Улица№»«tn{}|»;

    • «l» = «Город№»«tn{}|»;

    • «st» = «Область№»«tn{}|».

  2. Нажать на кнопку «Применить».

Изменены значения атрибутов:

  1. displayName;

  2. title;

  3. streetAddress;

  4. l;

  5. st.

Значения атрибутов соответствуют данным введённым на данном шаге.

Шаг 5

На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».

Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.

Шаг 6

Нажать на кнопку «+ Создать»;

  1. В поле «Источник» выбрать подразделение AD - «Подразделение A»;

  2. В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»;

  3. Нажать на кнопку «Сохранить».

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи.

Первая:

  1. Столбец «Источник» - содержит значение «Подразделение А».

  2. Столбец «Получатель» - содержит значение «Подразделение Х».

Вторая (данная запись создана для обратной синхронизации паролей пользователей):

  1. Столбец «Источник» - содержит значение «ALD».

  2. Столбец «Получатель» - содержит значение «AD».

Шаг 7

Перейти: Пользователи и компьютеры → Группы пользователей → Карточка группы, которая была создана в AD на шаге №3.

Отображена карточка выбранного пользователя, вкладка «Основное». Поля карточки содержат следующие значения:

  1. «Логин» отображается значение «logd.f.g.h.x.i.j.k.p.n.r.t.z.c_» - произведена замена запрещенных символов в поле «Имя входа пользователя» в AD.

  2. «Фамилия» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.n. o.r.s.t.u.v.y.a_b_c_d_e_f_h_g_» - произведена замена запрещенных символов в поле «Фамилия» в AD.

  3. «Имя» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.n. o.r.s.t.u.v.y.a_b_c_d_e_f_h_g_» - произведена замена запрещенных символов в поле «Имя» в AD.

  4. «Отображаемое имя» отображается значение «Имяo.g.h.a_b_j.k.u.» произведена замена запрещенных символов в поле «Выводимое имя» в AD.

  5. «Должность» отображается значение «Должностьo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «title» в AD.

  6. «Улица» отображается значение «Улицаo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «streetAddress» в AD.

  7. «Город» отображается значение «Городo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «l» в AD.

Шаг 7

Продолжение

Отображена карточка выбранного пользователя, вкладка «Основное». Поля карточки содержат следующие значения:

  1. «Область, край» отображается значение «Областьo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «st» в AD.

Обработка запрещенных символов в атрибуте ou при синхронизации подразделения

Шаги проверки

Ожидаемый результат

Шаг 1

Выполнить вход на машину winad под УЗ winadmin.

Вход выполнен успешно.

Шаг 2

Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.

Отображается содержимое подразделения «Подразделение А».

Шаг 3

Нажать ПКМ > Создать > Подразделение;

  1. «Имя» = «,;:!(){}[]$# №%@&|/t^=+*<>».

  2. Нажать кнопку «ОК».

Созданное подразделение отображается в подразделении «Подразделение А».

Шаг 4

На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».

Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.

Шаг 5

Нажать на кнопку «+ Создать»;

  1. В поле «Источник» выбрать подразделение AD - «Подразделение A»;

  2. В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»;

  3. Нажать на кнопку «Сохранить».

Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи.

Первая:

  1. Столбец «Источник» - содержит значение «Подразделение А».

  2. Столбец «Получатель» - содержит значение «Подразделение Х».

Вторая (данная запись создана для обратной синхронизации паролей пользователей):

  1. Столбец «Источник» - содержит значение «Подразделение Х».

  2. Столбец «Получатель» - содержит значение «Подразделение А».

Шаг 6

Перейти: Пользователи и компьютеры → Организационная структура → Подразделение X → Вкладка «Дочерние подразделения».

Отображается таблица, содержащая дочерние подразделения подразделения «подразделения X». В таблице присутствует подразделение, созданное в AD на шаге №3. Поле «Наименование подразделения» содержит значение после произведенной замены запрещенных символов в поле «Имя» в AD в соответствии с правилам замены.

Пример для тестовых данных из шага №3 - «a.b.c.d.x.i.j.k.q.l.p.n. o.r.s.t.u.v.y.a_c_d_e_f_h_g_».