Проверка функции «Управление доверительными отношениями с доменами»

Для работы с глобальным каталогом в системе создана пользовательская роль (условное обозначение - role), которая отвечает следующим требованиям:

1. Роль назначена на подразделение «A», выбрана опция «Включая дочерние».

2. Для роли добавлена только привилегия «Global Catalog - Add» и «Domain Controllers - Create», а также все необходимые зависимые привилегии:

• Global Catalog - Read,

• Domain Controllers - Read,

• IPA Servers - Read,

• Sites - Read,

• Computers - Read,

• Organization units - Read,

• DNS Zones - Read.

3. Привилегии роли, имеющие признак привязки к сайту, назначены на все сайты (при добавлении привилегий была выбрана опция «Все сайты»).

4. Роль находится в состоянии «Активна».

Настройка доверительных отношений с MS AD (исходящие)

Предусловие прохождения проверки:

Для корректной установки доверительных отношений с MS AD необходимо создать зону перенаправление на КД MS AD, путь:

1. Перейти в Роли и службы сайта → Служба разрешения имён → вкладка Перенаправление запросов → кнопка «+ Новая зона».

2. Заполнить поля формы:

• «Имя зоны» = «Указать имя зоны, которое соответствует наименованию домена WinAD»

• «Глобальные перенаправители» = ввести в поле IP-адрес зоны перенаправления DNS

• Остальные поля и параметры оставить без изменений.

В версии 2.4.0 при настройке доверительных отношений необходимо дополнительно выполнить команду -

sudo net conf setparm global "restrict anonymous" "0" и sudo aldproctl restart -i

А после создания доверительных отношений выполнить:

rm /var/lib/sss/db/* && systemctl restart sssd

net conf setparm global "restrict anonymous" "2"

sudo aldproctl restart -i

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Управление доменом → Интеграция с доменами → кнопка «+ Новое подключение».	Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)
Шаг 2 В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» выбрать радиокнопку «Исходящие» для поля «Тип доверительных отношений».	Радиокнопки выбраны. Отображена иконка-подсказка с предупреждением «При исходящих доверительных отношениях данный домен ALD Pro будет доверяющим по отношению к подключаемому Active Directory».
Шаг 3 Заполнить поля формы: «Имя домена» — полное наименование домена контроллера MS AD «Учетная запись» - winadmin. «Пароль» и «Подтверждение пароля» - пароль от УЗ winadmin. Нажать на кнопку «+ Добавить».	С указанным MS AD успешно настроены исходящие доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Исходящий»).
Шаг 4 На любом клиенте домена выполнить вход под любой учетной записью пользователя (не администратора) WinAD, с которым были установлены доверительные отношения. Предварительно выбрать WinAD для входа.	Вход выполнен успешно.

Настройка доверительных отношений с MS AD (двусторонние)

Предусловие прохождения проверки:

Для корректной установки доверительных отношений с MS AD необходимо создать зону перенаправление на КД MS AD, путь:

1. Перейти в Роли и службы сайта → Служба разрешения имён → вкладка Перенаправление запросов → кнопка «+ Новая зона».

2. Заполнить поля формы

• «Имя зоны» = имя домена MS AD;

• Глобальные перенаправители = IP-адрес КД MS AD, с которым устанавливаются доверительные отношения

• Остальные поля и параметры оставить без изменений.

3. Создать зону перенаправления на КД dc01 ALD Pro на машине КД MS AD, с которым устанавливаются доверительные отношения (Пуск → Оснастка «DNS»).

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Управление доменом → Интеграция с доменами → кнопка «+ Новое подключение».	Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)
Шаг 2 В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» оставить без изменений радиокнопку «Двусторонние» для поля «Тип доверительных отношений».	Радиокнопки выбраны.
Шаг 3 Заполнить поля формы: «Имя домена» — полное наименование домена контроллера MS AD «Учетная запись» - winadmin. «Пароль» и «Подтверждение пароля» - пароль от УЗ winadmin. Нажать на кнопку «+ Добавить».	С указанным MS AD успешно настроены двусторонние доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Двусторонний»).
Шаг 4 На любом клиенте домена выполнить вход под любой учетной записью пользователя (не администратора) WinAD, с которым были установлены доверительные отношения. Предварительно выбрать WinAD для входа.	Вход выполнен успешно.

Настройка двухсторонних доверительных отношений

Требования:

1. В системе развернут как минимум один контроллера домена, который обладает ролью глобального каталога

2. В инфраструктуре системы присутствует КД MS AD (условное обозначение - msad), с которым не были установлены доверительные отношения.

3. В системе присутствует УЗ администратора с ролью «Главный администратор» или с правами на создание доверительных отношений.

4. Пользователь из п.3 выполнил вход на портал управления.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Управление доменом → Интеграция доменов → Кнопка «+ Новое подключение».	Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»)
Шаг 2 В блоке «Настройки доверенного домена» выбрать радиокнопку «Active Directory». В блоке «Настройки доверия» оставить без изменений радиокнопку «Двусторонние» для поля «Тип доверительных отношений».	Радиокнопки выбраны.
Шаг 3 Заполнить поля формы для установки двухсторонних доверительных отношений корректными данными: Имя домена — полное наименование домена контроллера MS AD «Учетная запись для доверительных отношений» - winadmin «Пароль пользователя» и «Подтверждение пароля» - пароль от УЗ winadmin Нажать на кнопку «+ Добавить».	С указанным MS AD успешно настроены двусторонние доверительные отношения. Отображено соответствующее уведомление. Администратор переходит в таблицу добавленных доверительных отношений. Таблица содержит добавленное на данном шаге подключение (в столбце «Тип доверия» отображено значение «Двусторонний»).
Шаг 4 Выполнить вход на машину msad под УЗ winadmin.	Вход выполнен успешно.
Шаг 5 Перейти в оснастку «Active Directory - домены и доверие». ПКМ по наименованию домена MS AD msad → Свойства → Вкладка «Отношения доверия».	И в блоке «Домены, которым доверяет этот домен», и в блоке «Домены, которые доверяют этому домену» содержится имя домена ALD Pro.
Шаг 6 Под УЗ администратора выполнить вход в веб-интерфейс FreeIPA и перейти: IPA-сервер → Отношения доверия → Отношения доверия → Карточка msad.	Отображена вкладка «Параметры» выбранного подключения к msad для доверительных отношений. Для параметра «Направление отношения доверия» отображено значение «Двухстороннее отношение доверия».

Подключение контроллера MS AD к модулю синхронизации

Требования:

1. В инфраструктуре системы присутствует доступный контроллер домена AD (мастер), с которым необходимо установить связь для синхронизации (условное обозначение winad).

2. В AD winad из п.1 настроена любая структура объектов любого количества и любой вложенности (подразделения, пользователи, группы).

3. В AD winad из п.1 присутствует учетная запись администратора (условное обозначение winadmin).

4. В AD winad з п.1 присутствует учетная запись, которой выданы ограниченные права на управление паролями пользователей в домене MS AD.

5. Для КД AD winad из п.1 получен корректный сертификат (см. «Инструкция по дополнительным настройкам Syncer» в разделе «Полезные инструкции» справочного центра)

6. В системе ALD Pro не было установлено связей ни с одним AD для синхронизации (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица пустая и содержит заглушку «Данные отсутствуют»).

7. Пользователь выполнил вход на портал управления.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD».	Отображена таблица с перечнем добавленных в систему AD, с которыми установлено отношение синхронизации данных. Таблица пустая и не содержит объектов - отображена заглушка «Данные отсутствуют».
Шаг 2 Нажать на кнопку «+ Создать».	Отображается форма добавления нового AD.
Шаг 3 Заполнить поля формы: «Имя сервера» (обязательное) - наименования КД AD winad. «Имя пользователя»(обязательное) - указать значение УЗ winadmin в формате логин@домен. «Пароль»(обязательное) - указать пароль от УЗ winadmin. «Сертификат»(обязательное) - выбрать файл из п.5 Требования в формате *.pem. Нажать на кнопку сохранения и подтвердить операцию.	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь остается в карточке добавленного AD - все поля соответствуют заполненным на момент шага №3 данным.

Подключение контроллера домена ALD Pro к модулю синхронизации

Требования:

1. В системе ALD Pro не был настроен ни один КД ALD Pro на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица пустая и содержит заглушку «Данные отсутствуют»).

2. Для первого КД ALD Pro получен корректный сертификат (см. «Инструкция по дополнительным настройкам Syncer» в разделе «Полезные инструкции» справочного центра).

3. Пользователь выполнил вход на портал управления.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD».	Отображена таблица с перечнем добавленных в систему ALD, с которыми установлено отношение синхронизации данных. Таблица пустая и не содержит объектов - отображена заглушка «Данные отсутствуют».
Шаг 2 Нажать на кнопку «+ Создать».	Отображается форма добавления нового ALD для синхронизации из AD.
Шаг 3 Заполнить поля формы: «Имя сервера»(обязательное) - поле предназначено для ввода имени КД ALD Pro. «Имя пользователя»(обязательное) - логин пользователя admin «Пароль»(обязательное) - указать пароль от УЗ admin. «Сертификат»(обязательное) - выбрать файл из п.2 Требования в формате *.pem. Нажать на кнопку сохранения и подтвердить операцию.	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь остается в карточке добавленного ALD - все поля соответствуют заполненным на момент шага №3 данным.

Настройка двухсторонней синхронизации паролей между доменами AD и ALD Pro

Требования:

1. В инфраструктуре системы присутствует как минимум два доступных контроллера домена AD (мастер и реплика), с которыми может быть установлена связь для синхронизации (условное обозначение winad1 и winad2).

2. Условное обозначение УЗ администратора - winadmin.

3. Подключение к данным MS AD может быть настроено в системе ALD Pro (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD»).

4. На машине winad1 размещена утилита PasswdhkSetup.msi.

5. В системе ALD Pro был настроен первый КД ALD Pro на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица содержит значение dc01).

6. В системе ALD Pro получен ключ (Модуль синхронизации → Настройки → Вкладка «Синхронизация паролей»). Данный ключ скопирован в файловую систему winad.

7. На каждом контроллере домена необходимо установить Visual C++ Redistributable, выполнив Passwdhk_install/util/VC_redist.x64.exe.

8. Установка passwdhk производится через файл PasswdhkSetup.msi. Утилита должна быть установлена от имени администратора. Поддерживается как ручная установка с вводом ключа, так и автоматизированная с использованием .mst файла (см. Руководство администратора, раздел Автоматизированная установка passwdhk через MST-файл)

Примечание

При переходе с предыдущей версии утилиты необходимо предварительно удалить старую библиотеку passwdhk.dll (см. Руководство администратора Часть 2, раздел Обновление passwdhk, установленного через групповую политику (GPO), на версию MSI).

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Модуль синхронизации → Настройки → Вкладка «Синхронизация паролей».	Отображена вкладка «Синхронизация паролей», содержащая поле «Номер ключа».
Шаг 2 Нажать на кнопку «Получить ключ». Запущен процесс получения ключа.	Как только ключ будет получен, соответствующий номер ключа отобразится в поле «Номер ключа», а сам ключ будет загружен в директорию пользователя для загрузки файлов по умолчанию. Файл содержит открытый ключ.
Шаг 3 Открыть на просмотр файл, полученный на шаге №2 (сохранен на компьютере пользователя admin в папку для загрузок по умолчанию).	Файл содержит следующую информацию: На первой строке отображена версия сформированного ключа. Она соответствует значению поля «Номер ключа» из ОР шага №2. Со следующей новой строки указан сформированный ключ.
Шаг 4 Под УЗ winadmin выполнить вход на машину winad1.	Вход выполнен успешно.
Шаг 5 Под учётной записью winadmin выполнить установку утилиты passwdhk на машине winad1, запустив PasswdhkSetup.msi от имени администратора.Указать номер ключа, вставить публичный ключ и уровень логирования. После завершения установки перезагрузить контроллер домена.	Утилита установлена, параметры применены, контроллер перезагружен.
Шаг 6 Открыть PowerShell и выполнить команду для принудительного применения групповых политик: gpupdate /force.	Команда успешно выполнена - групповые политики (в том числе и passwdhk) применены.
Шаг 7 Выполнить перезагрузку контроллера домена AD winadmin1 и войти на winad1 под УЗ winadmin.	Машина успешно перезагружена. Вход успешно выполнен.
Шаг 8 Открыть редактор реестра (выполнить поиск по значению «regedit» в меню «Пуск»). В дереве перейти: Компьютер → HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → Lsa.	Редактор реестра успешно открыт. В перечне присутствует объект с наименованием «Notification Pakages», для которого добавлена запись «passwdhk».
Шаг 9 В дереве перейти: Компьютер → HKEY_LOCAL_MACHINE → SYSTEM → CurrentControlSet → Control → Lsa → passwdhk.	Созданы объекты kvnopub, logfile, loglevel, maxlogsize, publickey.
Шаг 10 Под УЗ admin выполнить подключение к КД dc01.	Подключение выполнено успешно.
Шаг 11 В любую директорию (например, /tmp) кладем файл открытого ключа, который был получен в ALD Pro на шаге 6 предусловий.	Файл добавлен в директорию на КД dc01.
Шаг 12 Этот же файл открытого ключа скопировать в /opt/rbta/aldpro/syncer/. Данные для ввода: sudo cp /tmp/public.gpg /opt/rbta/aldpro/syncer/	Файл успешно скопирован.
Шаг 13 Выполнить команду sudo ipactl restart.	Команда успешно выполнена.

Настройка сихронизации подразделений

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».	Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.
Шаг 2 Нажать на кнопку «+ Создать».	Отображено модальное окно добавления сопоставления подразделений для синхронизации.
Шаг 3 В блоке «Источник» выбрать значение winad.	Отображен перечень подразделений winad, свернутый до родительских.
Шаг 4 В блоке «Получатель» выбрать значение КД dc01 ALD Pro.	Отображен перечень подразделений ALD Pro, свернутый до родительского. Для проверки корректного отображения подразделений ALD Pro: в интерфейсе портала управления перейти: Пользователи и компьютеры → Организационная структура.
Шаг 5 В блоке «Источник» нажать на подразделение «А».	Подразделение раскрыто до следующего уровня подразделений - отображено дочернее для А подразделение А1.
Шаг 6 В блоке «Источник» нажать на подразделение «А1».	Подразделение раскрыто до следующего уровня подразделений - отображены дочерние для А1 подразделения А11 и А12.
Шаг 7 В блоке «Источник» нажать на подразделение «В».	Подразделение раскрыто до следующего уровня подразделений - отображены дочерние для В подразделения В1 и В2.
Шаг 8 В блоке «Получатель» нажать на корень подразделения ALD Pro.	Подразделение раскрыто до следующего уровня подразделений - отображены все дочерние для корня подразделения.
Шаг 9 Раскрыть выпадающий список в блоке «Источник».	Отображен выпадающий список с перечнем настроенных в системе подключений.
Шаг 10 Выполнить поиск по выпадающему списку в блоке «Источник» так, чтобы данные были найдены: Полное наименование winad Подстроку из наименования winad	Поиск выполнен успешно - в выпадающем списке отображены все найденные значения, наименование которых полностью или частично содержит строку поиска.
Шаг 11 Раскрыть выпадающий список в блоке «Получатель».	Отображен выпадающий список с плоским полным перечнем подключений к ALD Pro.
Шаг 12 Выполнить поиск по выпадающему списку в блоке «Получатель» так, чтобы данные были найдены: Полное наименование любого настроенного подключения к ALD Pro Подстроку из наименования любого настроенного подключения к ALD Pro	Поиск выполнен успешно - в выпадающем списке отображены все найденные подключения, наименование которых полностью или частично содержит строку поиска.
Шаг 13 В дереве подразделений блока «Источник» выбрать любое доступное подразделение MS AD, для которого еще не задано сопоставление.	Подразделение выделено в дереве.
Шаг 14 В дереве подразделений блока «Получатель» выбрать любое доступное подразделение ALD Pro, для которого еще не задано сопоставление. Нажать на кнопку сохранения и подтвердить операцию.	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений».
Шаг 15 Перейти на вкладку «Структура дерева синхронизации».	Вкладка содержит часть дерева подразделений AD, с которым настроена синхронизация.

Обработка конфликтов синхронизации

Требования:

1. В инфраструктуре системы присутствуют как минимум один контроллер домена AD (мастер). Условное обозначение — winad. Настроена групповая политика паролей.

2. В системе ALD Pro была установлена связь для синхронизации с winad. Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица содержит значение winad.

3. В системе ALD Pro был настроен КД ALD Pro (условное обозначение - dc01) на вкладке «Контроллеры домена ALD» (Модуль синхронизации → Настройки → Вкладка «Контроллеры домена ALD» - таблица содержит значение dc01).

4. В системе настроены как минимум по умолчанию атрибуты и соответствующие сопоставления:

   1. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Атрибуты AD» - таблица содержит как минимум атрибуты по умолчанию.

   2. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Атрибуты ALD» - таблица содержит как минимум атрибуты по умолчанию.

   3. Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений» - таблица содержит как минимум сопоставления по умолчанию.

5. В winad настроена структура подразделений, которая содержит как минимум:

   1. Подразделение А - родительское

   2. Подразделение А1 - дочернее для A

   3. Подразделение А11 - дочернее для A1

   4. Подразделение А12 - дочернее для А1

   5. Подразделение А121 - дочернее для А12

   6. Все подразделения выше содержат как минимум по одной любой УЗ любого пользователя и по одной любой группе.

6. В системе ALD Pro настроена структура подразделений - как минимум создано подразделение X, являющееся дочерним для корня.

7. В системе не настроена синхронизация подразделения А (и всех его дочерних) AD и любого подразделения ALD Pro.

8. В системе ALD Pro созданы следующие объекты (привязаны к любому подразделению) - любой пользователь aldprouser и любая группа пользователей aldprogroup.

9. Среди объектов подразделения А и всех его дочерних (пункт 6.6) отсутствуют пользователи с логином пользователя aldprouser и группы пользователей с наименованием aldprogroup.

10. В winad присутствует УЗ администратора (условное обозначение - winadmin).

11. Пользователь выполнил вход на портал управления.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».	Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.
Шаг 2 Нажать на кнопку «+ Создать».	Отображена модальное окно добавления нового сопоставления подразделений AD и ALD Pro. Кнопка «Проверить наличие конфликтов» недоступна для редактирования - необходимо выбрать «Источник» и «Получатель» для проверки конфликтов.
Шаг 3 В выпадающем списке «Источник» выбрать значение А. В выпадающем списке «Получатель» выбрать значение X. Нажать на кнопку «Проверить наличие конфликтов».	Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro. Как только проверка будет выполнена, отобразится уведомление о результатах - конфликтов нет.
Шаг 4 Под УЗ winadmin выполнить вход на машину winad.	Вход выполнен успешно.
Шаг 5 Перейти в оснастку «Active Directory - пользователи и компьютеры». Выбрать контейнер А (либо любое его дочернее подразделение) и создать новые объекты: Пользователя с логином aldprouser (остальные данные заполнить любыми корректными значениями). Группу с наименованием aldprogroup (остальные данные заполнить любыми корректными значениями).	Объекты успешно добавлены.
Шаг 6 Перейти в модальное окно добавления сопоставления, которая была открыта на шаге №3. Нажать на кнопку «Проверить наличие конфликтов» повторно.	Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro. Как только проверка будет выполнена, отобразится информационное уведомление о найденных конфликтах - «Были обнаружены конфликты синхронизации. Скачать список конфликтов». При нажатии на ссылку «Скачать список конфликтов» в уведомлении будет сформирован и скачан в директорию для загрузок по умолчанию файл в формате .csv, содержащий полный перечень конфликтов. Данный файл содержит следующие данные: AD NAME - наименование «конфликтного» объекта в домене MS AD ALD NAME - наименование «конфликтного» объекта в домене ALD Pro AD DN - DN «конфликтного» объекта в AD ALD DN - DN «конфликтного» объекта в ALD Файл содержит информацию об объектах aldprouser и aldprogroup домена ALD Pro и объектах MS AD, которые были созданы на шаге №5.
Шаг 7 Удалить объекты aldprouser и aldprogroup из системы ALD Pro: Пользователи и компьютеры → Пользователи → Карточка пользователя aldprouser. Затем: Пользователи и компьютеры → Корзина → Карточка aldprouser. Пользователи и компьютеры → Группы пользователей → Карточка группы aldgroup.	Пользователь aldprouser и группа пользователей aldprogroup успешно безвозвратно удалены из системы ALD Pro.
Шаг 8 Перейти в модальное окно добавления сопоставления, которая была открыта на шаге №3. Нажать на кнопку «Проверить наличие конфликтов» повторно.	Запущен механизм поиска конфликтов между объектами выбранного подразделения AD и всех объектов ALD Pro - производится поиск по логинам пользователей и наименованиям групп пользователей из выбранных подразделений AD во всем домене ALD Pro. Как только проверка будет выполнена, отобразится уведомление о результатах - конфликтов нет.
Шаг 9 Нажать на кнопку «Сохранить» и подтвердить операцию.	Запущен механизм синхронизации объектов из подразделения А ALD Pro (и всех его дочерних) в подразделение X ALD Pro.
Шаг 10 Перейти: Модуль синхронизации → Источники → Вкладка «Структура дерева синхронизации». Раскрыть подразделения, выбрав те подразделения, в которых были созданы объекты на шаге №5.	Таблица «Объекты» содержит перечень объектов из выбранного подразделения, которые будут синхронизированы в ALD Pro. Пользователь aldprouser и группа пользователей aldprogroup присутствуют в таблице. Кнопка «Проверить наличие конфликтов» активна.
Шаг 11 Перейти: Пользователи и компьютеры → Организационная структура. Раскрыть подразделение Х и просмотреть все его дочерние подразделения и соответствующие объекты (пользователи и группы пользователей) в его карточке.	Синхронизация произошла успешно - в ALD Pro добавлены все соответствующие подразделения, пользователи и группы пользователей с сохранением вложенности и значений в атрибутах сопоставления. Пользователь aldprouser и группа пользователей aldprogroup синхронизированы из MS AD.
Шаг 12 Перейти: Модуль синхронизации → Источники → Вкладка «Структура дерева синхронизации». Нажать на кнопку «Проверить наличие конфликтов».	Запущен механизм поиска конфликтов между объектами подразделений AD и всех объектов ALD Pro. Как только проверка будет выполнена, отобразится уведомление о результатах проверки: Если aldprouser и aldprogroup были единственными конфликтами, то конфликты не обнаружены. Иначе - сформирован файл, который не содержит объекты aldprouser и aldprogroup.

Синхронизация паролей, подразделений, пользователей и групп пользователей

Требования:

1. В системе ALD Pro присутствует учетная запись администратора с ролью «Главный администратор» или «Администратор информационной безопасности».

2. В инфраструктуре системы присутствует как минимум один доступный контроллер домена AD (мастер), с которым была установлена связь для синхронизации (условное обозначение winad). Модуль синхронизации → Настройки → Вкладка «Контроллеры домена AD» - таблица содержит значение winad.

3. Условное обозначение УЗ администратора - winadmin.

4. Условное обозначение УЗ любого обычного пользователя (пароль которого не просрочен) - winuser1.

5. Условное обозначение УЗ любого обычного пользователя (пароль которого не сброшен) - winuser2.

6. Пользователи winuser1 и winuser2 находятся в подразделении А.

7. Настроена групповая политика паролей.

8. В домен ALD Pro введен как минимум один любой компьютер с графической оболочкой (условное обозначение - client).

9. В системе ALD Pro настроена структура подразделений - как минимум создано подразделение B, являющееся дочерним для корня.

10. В системе ALD Pro настроено сопоставление подразделений для синхронизации (Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений»): Источник — А, Получатель B

11. Пользователи успешно синхронизированы с ALD Pro.

Шаги проверки	Ожидаемый результат
Шаг 1 Под УЗ winuser1 выполнить вход на клиент client, указав соответствующий пароль от данной УЗ в winad.	Система не предлагает сбросить пароль, вход на клиент выполнен успешно - создана домашняя директория, отображен рабочий стол.
Шаг 2 Под УЗ winuser1 выполнить вход на портал управления ALD Pro, указав соответствующий пароль от данной УЗ в winad.	Вход выполнен успешно, отображается личный кабинет пользователя.
Шаг 3 Повторить шаги 1-2 под УЗ winuser2	ОР соответствует шагам 1-2
Шаг 4 Выполнить вход на машину winad под УЗ winadmin.	Вход выполнен успешно.
Шаг 5 Добавить двух новых пользователей в подразделение А: Перейти в оснастку «Active Directory - Пользователи и компьютеры». В левой части формы выбрать подразделение А. Нажать на кнопку [Создание нового пользователя в текущем контейнере]. В отобразившемся окне заполнить все поля любыми корректными значениями (Имя входа пользователя не должно дублировать логин ни одного из созданных в ALD Pro пользователей). Нажать «Далее». Указать любой корректный пароль, соответствующий политике паролей AD и ALD Pro. Чекбокс «Требовать смены пароля при следующем входе в систему» оставить активным. Нажать «Далее». Нажать «Готово».	Пользователи успешно созданы и отображаются в правой части окна.
Шаг 6 Под УЗ пользователей, которые были созданы на шаге №5, выполнить вход на клиент client и на портал управления ALD Pro, указав соответствующий пароль от данной УЗ в winad.	Система не предлагает сбросить пароль, вход на клиент выполнен успешно - создана домашняя директория, отображен рабочий стол. На портал вход выполнен успешно, отображается личный кабинет пользователя.
Шаг 7 Перейти: Пользователи и компьютеры → Организационная структура. Перейти в карточку подразделения A1, которое является дочерним для подразделения Х (выбрать его в дереве и нажать на кнопку «Редактировать», либо на иконку ссылки перехода в дереве).	Отображена карточка выбранного подразделения, вкладка «Основное».
Шаг 8 Выполнить подключение к LDAP.	Подключение выполнено успешно.
Шаг 9 Перейти: [корень] → cn=accounts → cn=orgunits. $ ldapsearch -Q -LLL -b cn=orgunits,cn=accounts,$SUFFIX -o ldif-wrap=no dn	Раскрыта директория подразделений - отображены дочерние для корня подразделения. В перечне присутствует подразделение X.
Шаг 10 Перейти в карточку подразделения А1	Отображена карточка выбранного подразделения. Атрибут ou содержит наименование данного подразделения в winad. Остальные атрибуты содержат значения, которые были получены из winad при наличии соответствующих заданных сопоставлениях и атрибутах.
Шаг 11 Выполнить вход на машину winad под УЗ winadmin. Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А1: ПКМ → Свойства → Вкладка «Редактор атрибутов».	Отображена форма настройки значений атрибутов подразделения А1.
Шаг 12 Изменить значения в любых доступных атрибутах подразделения А1, которые добавлены для сопоставлений в таблице системы ALD Pro (Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений»). При этом, указанные значения должны быть валидными для соответствующих атрибутов-«получаетелей» подразделений ALD Pro.	Изменения успешно сохранены. В таблице virtual_tree (схема schema_provider) внесены соответствующие изменения: в столбце master_attributes для измененных подразделений изменены значения отредактированных атрибутов.
Шаг 13 На портале управления ALD Pro перейти: Пользователи и компьютеры → Организационная структура. Раскрыть подразделение Х и все его дочерние. Перейти в карточку А1.	Отображена карточка подразделения A1, вкладка «Основное». Если на шаге №12 были внесены изменения в атрибуты, поля которых представлены в интерфейсе портала управления на вкладке «Основное» карточки подразделения, то соответствующие изменения значений отображены в данных полях.
Шаг 14 Выполнить подключение к LDAP и перейти: [корень] → cn=accounts → cn=orgunits → подразделение Х → подразделение А1. Если запрос с отправляется с контроллера домена: $ DOMAIN=$(grep ^search /etc/resolv.conf|cut -d „ „ -f2) Если запрос выполняется на клиенте: $ DOMAIN=[полное имя домена] $ ldapsearch -Q -LLL -b ou=[подразделение А1],ou=[подразделение X],ou=$DOMAIN,cn=orgunits,cn=accounts,$SUFFIX -o ldif-wrap=no	Отображена карточка выбранного подразделения. Все атрибуты, которые были изменены на шаге №12, содержат соответствующие обновленные значения.
Шаг 15 Перейти: Пользователи и компьютеры → Пользователи в карточку пользователя, который был мигрирован из подразделения A winad.	Отображена карточка выбранного пользователя, вкладка «Основное».
Шаг 16 Перейти на вкладки «Расширенные настройки» и «Группы»	Отображаются соответствующие вкладки.
Шаг 17 Выполнить подключение к LDAP.	Подключение выполнено успешно.
Шаг 18 Перейти в карточку пользователя из шага №15: [корень] → cn=accounts → cn=users → карточка пользователя. $ ldapsearch -Q -LLL -b cn=users,cn=accounts,$SUFFIX -o ldif-wrap=no uid="*[логин пользователя]*"	Отображена карточка выбранного пользователя
Шаг 19 Выполнить вход на машину winad под УЗ winadmin. Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А. В правой части формы выбрать пользователя, который был мигрирован в ALD Pro: ПКМ → Свойства → Вкладка «Редактор атрибутов».	Отображена форма настройки значений атрибутов пользователя подразделения А.
Шаг 20 Изменить значения в любых доступных атрибутах выбранного пользователя, которые добавлены для сопоставлений в таблице системы ALD Pro (Модуль синхронизации → Сопоставление атрибутов → Вкладка «Карта сопоставлений»). При этом, указанные значения должны быть валидными для соответствующих атрибутов-«получателей» пользователей ALD Pro.	Изменения успешно сохранены. В таблице virtual_tree (схема schema_provider) внесены соответствующие изменения. В столбце master_attributes для измененных пользователей изменены значения отредактированных атрибутов.
Шаг 21 На портале управления перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя, который был изменен в AD на шаге №20.	Отображена карточка пользователя, вкладка «Основное». Изменения, внесенные на шаге №20, отображаются в карточке.
Шаг 22 Выполнить подключение к LDAP и перейти: [корень] → cn=accounts → cn=users → пользователь из шага №21. $ ldapsearch -Q -LLL -b cn=users,cn=accounts,$SUFFIX -o ldif-wrap=no uid=»[логин пользователя]»	Отображена карточка выбранного пользователя. Все атрибуты, которые были изменены на шаге №20, содержат соответствующие обновленные значения.
Шаг 23 Перейти: Пользователи и компьютеры → Группы пользователей.	Таблица содержит полный перечень групп пользователей домена, в том числе и тех групп пользователей, которые были мигрированы из winad подразделения А и его дочерних
Шаг 24 Выполнить шаги 15-22 для групп пользователей	ОР соответствует шагам 15-22.

Подключение к ALD Pro (исходящие доверительные отношения): добавление и удаление

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.4.0 или выше):

   1. ald1.trust

   2. ald2.trust

2. В домене ald1.trust не настроены доверительные отношения с доменом ald2.trust (и наоборот).

3. В доменах присутствуют следующие учетные записи пользователей (пароли от данных УЗ сброшены и активны):

   1. admin1 - обладает ролью «Главный администратор» в домене ald1.trust;

   2. admin2 - обладает ролью «Главный администратор» в домене ald2.trust.

4. Для домена ald1.trust добавлена зона перенаправления на домен ald2.trust.

5. Пользователь из п.3.1 выполнил вход на портал управления домена ald1.trust.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Управление доменом → Интеграция с доменами → Кнопка «+ Новое подключение «.	Отображена форма добавления нового подключения к ALD Pro для установки доверительных отношений.
Шаг 2 В поле «Тип домена» оставить без изменений радиокнопку «ALD Pro». В блоке «Настройки доверия» в поле «Тип доверия» выбрать радиокнопку «Исходящие».	Радиокнопки выбраны.
Шаг 3 В поле «Имя домена» ввести имя домена ald2.trust. В поле «Учетная запись» ввести логин пользователя admin2. В поля «Пароль» и «Подтверждение пароля» ввести корректное значение пароля от УЗ admin2 домена ald2.trust. Нажать на кнопку «+ Добавить».	Запущен процесс добавления нового подключения к домену ALD Pro ald2.trust. Операция завершена успешно - отображено соответствующее уведомление, пользователь перенаправлен на вкладку «Подключения к доменам ALD Pro».
Шаг 4 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 5 Перейти: Управление доменом → Интеграция с доменами	Таблица содержит значение домена ald1.trust. В столбце «Тип доверия» отображено значение «Входящий».
Шаг 6 Под УЗ admin1 выполнить вход на портал управления домена ald1.trust. Перейти: Управление доменом → Интеграция с доменами.	Отображена вкладка «Доверительные отношения». Таблица содержит как минимум домен ald2.trust с типом доверия «Исходящий».
Шаг 7 Выделить домен в таблице и нажать на иконку «Удалить»	Отображено модальное окно для ввода логина и пароля от УЗ администратора домена ald2.trust для удаления подключения.
Шаг 8 Заполнить поля модального окна: В поле «Логин» ввести значение логина администратора admin2; В поле «Пароль» ввести корректное значение логина администратора admin2. Нажать на кнопку «Удалить».	Удаление выполнено успешно - отображено соответствующее уведомление. Пользователь остается на вкладке «Доверительные отношения». Подключение к ald2.trust в таблице отсутствует.
Шаг 9 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 10 Перейти: Управление доменом → Интеграция с доменами.	Отображена таблица с перечнем доменов, с которыми настроены доверительные отношения. Домен ald1.trust в таблице отсутствует.
Шаг 11 Перезагрузить компьютер client. После выполнения перезагрузки - выбрать на нем домен ald2.trust.	Домен отсутствует.

Подключение к ALD Pro (двусторонние доверительные отношения): добавление и удаление

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.4.0 или выше):

   • ald1.trust

   • ald2.trust

2. В домене ald1.trust не настроены доверительные отношения с доменом ald2.trust (и наоборот).

3. В доменах присутствуют следующие учетные записи пользователей (пароли от данных УЗ сброшены и активны):

   • admin1 - обладает ролью «Главный администратор» домене ald1.trust;

   • admin2 - обладает ролью «Главный администратор» в домене ald2.trust.

4. Для домена ald1.trust добавлена зона перенаправления на домен ald2.trust.

5. Для домена ald2.trust добавлена зона перенаправления на домен ald1.trust.

6. Пользователь из п.3.1 выполнил вход на портал управления домена ald1.trust.

Шаги проверки	Ожидаемый результат
Шаг 1 Перейти: Управление доменом → Интеграция с доменами → Кнопка «+ Новое подключение».	Отображено окно с формой создания доверительных отношений (заголовок «Новое подключение»).
Шаг 2 В поле «Тип домена» оставить без изменений радиокнопку «ALD Pro». В блоке «Настройки доверия» в поле «Тип доверия» оставить без изменений радиокнопку «Двусторонние».	Радиокнопки выбраны.
Шаг 3 Заполнить форму добавления нового подключения к ALD Pro: Имя домена Учетная запись для доверительных отношений Пароль и подтверждение пароля Нажать на кнопку «Добавить». Данные: Домен ald2.trust Учетная запись для доверительных отношений admin2	Запущен процесс добавления нового подключения к домену ALD Pro ald2.trust. Операция завершена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Доверительные отношения».
Шаг 4 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 5 Перейти: Управление доменом → Интеграция с доменами.	Таблица содержит значение домена ald1.trust. В столбце «Тип доверия» отображено значение «Двусторонний».
Шаг 6 Под УЗ admin1 выполнить вход на портал управления домена ald2.trust. Перейти: Управление доменом → Интеграция с доменами.	Отображена вкладка «Доверительные отношения». Таблица содержит как минимум домен ald2.trust с типом доверия «Двусторонний».
Шаг 7 Выделить домен и нажать на кнопку «Удалить»	Отображено модальное окно для ввода логина и пароля от УЗ администратора домена ald2.trust для удаления подключения.
Шаг 8 Заполнить поля модального окна: В поле «Логин» ввести значение логина администратора admin2; В поле «Пароль» ввести корректное значение логина администратора admin2. Нажать на кнопку «Удалить».	Удаление выполнено успешно - отображено соответствующее уведомление. Пользователь остается на вкладке «Доверительные отношения». Подключение к ald2.trust в таблице отсутствует. Количество подключений в футере уменьшено на 1.
Шаг 9 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 10 Перейти: Управление доменом → Интеграция с доменами	Отображена таблица с перечнем доменов, с которыми настроены доверительные отношения. Домен ald1.trust в таблице отсутствует.
Шаг 11 Перезагрузить компьютеры client1 и client2. На client1 и client2 выбрать домен ald2.trust.	Перезагрузка выполнена успешно. Домен отсутствует.

Авторизация на клиенте домена ald1 ALD Pro (двусторонние доверительные отношения)

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

   1. ald1.trust

   2. ald2.trust

2. В домене ald1.trust настроены Двусторонние доверительные отношения с доменом ald2.trust.

3. В домене ald2.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

   1. admin2 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

   2. user2 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

4. В домене ald1.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки	Ожидаемый результат
Шаг 1 На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.	В перечне присутствуют как минимум следующие домены: ald1.trust (текущий домен) ald2.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия)
Шаг 2 Выбрать домен ald2.trust. В поле для ввода логина ввести логин пользователя admin2. В поле для ввода пароля ввести пароль от УЗ admin2. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 3 Выйти из сессии пользователя admin2. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести пароль пользователя user2. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 4 В поле для ввода пароля ввести корректный пароль от УЗ user2. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 5 Выйти из сессии пользователя user2.	Выход выполнен успешно.
Шаг 6 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 7 Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».	Отображена форма создания новой УЗ пользователя в домене ald2.trust.
Шаг 8 Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.	Новая учетная запись пользователя в домене ald2.trust создана успешно.
Шаг 9 Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user2. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями. Нажать на кнопку «Сбросить пароль».	Администратор успешно сбросил пароль для пользователя user2 (задан временный пароль).
Шаг 10 На портале управления ald2.trust выполнить выход из сессии пользователя admin2. Выполнить вход под УЗ пользователя user2. Выполнить сброс пароля на любой корректный.	Пароль пользователя user2 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.
Шаг 11 На портале управления ald2.trust выполнить выход из сессии пользователя user2. Выполнить вход под УЗ пользователя, который был создан на шаге №7. Выполнить сброс пароля на любой корректный.	Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.
Шаг 12 Вернуться на компьютер client домена ald1.trust - шаг №3. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести новый пароль от УЗ user2, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 13 Выйти из сессии пользователя user2. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя, который был создан на шаге №7. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Авторизация на клиенте домена ald2 ALD Pro (двусторонние доверительные отношения)

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

   1. ald1.trust

   2. ald2.trust

2. В домене ald2.trust настроены Двусторонние доверительные отношения с доменом ald2.trust.

3. В домене ald1.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

   1. admin1 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

   2. user1 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

4. В домене ald2.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки	Ожидаемый результат
Шаг 1 На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.	В перечне присутствуют как минимум следующие домены: ald1.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия) ald2.trust (текущий домен)
Шаг 2 Выбрать домен ald1.trust. В поле для ввода логина ввести логин пользователя admin1. В поле для ввода пароля ввести пароль от УЗ admin1. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald1.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 3 Выйти из сессии пользователя admin1. Выбрать домен ald1.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user1. В поле для ввода пароля ввести пароль пользователя user1. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.
Шаг 4 В поле для ввода пароля ввести корректный пароль от УЗ user1. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.
Шаг 5 Выйти из сессии пользователя user1.	Выход выполнен успешно.
Шаг 6 Под УЗ admin1 выполнить вход на портал управления домена ald1.trust.	Вход выполнен успешно.
Шаг 7 Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».	Отображена форма создания новой УЗ пользователя в домене ald1.trust.
Шаг 8 Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.	Новая учетная запись пользователя в домене ald1.trust создана успешно.
Шаг 9 Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user1. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями. Нажать на кнопку «Сбросить пароль».	Администратор успешно сбросил пароль для пользователя user1 (задан временный пароль).
Шаг 10 На портале управления ald1.trust выполнить выход из сессии пользователя admin1. Выполнить вход под УЗ пользователя user1. Выполнить сброс пароля на любой корректный.	Пароль пользователя user1 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald1.trust.
Шаг 11 На портале управления ald1.trust выполнить выход из сессии пользователя user1. Выполнить вход под УЗ пользователя, который был создан на шаге №7. Выполнить сброс пароля на любой корректный.	Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald1.trust.
Шаг 12 Вернуться на компьютер client домена ald2.trust - шаг №3. Выбрать домен ald1.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user1. В поле для ввода пароля ввести новый пароль от УЗ user1, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.
Шаг 13 Выйти из сессии пользователя user2. Выбрать домен ald1.trust (если он не выбран). В поле для ввода логина ввести логин пользователя, который был создан на шаге №7. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald1.trust на клиент домена ald2.trust выполнен успешно - отображен рабочий стол.

Авторизация в доверенном домене ALD Pro (исходящие доверительные отношения)

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 2.3.0 или выше):

   1. ald1.trust

   2. ald2.trust

2. В домене ald1.trust настроены Исходящие доверительные отношения с доменом ald2.trust.

3. В домене ald2.trust присутствуют следующие учетные записи пользователей (пароли сброшены и активны):

   1. admin2 - обладает ролью «Главный администратор» или «Администратор информационной безопасности»;

   2. user2 - любой пользователь, не обладающий правами администратора (согласно настроенной политике паролей, на момент прохождения тест-кейса доступен сброс пароля).

4. В домене ald1.trust присутствует компьютер с графической оболочкой (условное обозначение - client).

Шаги проверки	Ожидаемый результат
Шаг 1 На компьютере client перейти к окну графического входа в систему. Раскрыть поле для выбора домена, в который будет выполняться вход.	В перечне присутствуют как минимум следующие домены: ald1.trust (текущий домен) ald2.trust (домен ALD Pro, с которым установлены Исходящие отношения доверия)
Шаг 2 Выбрать домен ald2.trust. В поле для ввода логина ввести логин пользователя admin2.В поле для ввода пароля ввести пароль от УЗ admin2 Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 3 Выйти из сессии пользователя admin2. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести пароль пользователя user2. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 4 В поле для ввода пароля ввести корректный пароль от УЗ user2. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 5 Выйти из сессии пользователя user2.	Выход выполнен успешно.
Шаг 6 Под УЗ admin2 выполнить вход на портал управления домена ald2.trust.	Вход выполнен успешно.
Шаг 7 Перейти: Пользователи и компьютеры → Пользователи → Кнопка «+ Создать».	Отображена форма создания новой УЗ пользователя в домене ald2.trust.
Шаг 8 Заполнить поля формы любыми корректными значениями. Нажать на кнопку сохранения и подтвердить операцию.	Новая учетная запись пользователя в домене ald2.trust создана успешно.
Шаг 9 Перейти: Пользователи и компьютеры → Пользователи → Карточка пользователя user2. Выполнить сброс пароля для данного пользователя, заполнив поля «Пароль» и «Подтверждение пароля» любыми корректными значениями. Нажать на кнопку «Сбросить пароль».	Администратор успешно сбросил пароль для пользователя user2 (задан временный пароль).
Шаг 10 На портале управления ald2.trust выполнить выход из сессии пользователя admin2. Выполнить вход под УЗ пользователя user2. Выполнить сброс пароля на любой корректный.	Пароль пользователя user2 успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.
Шаг 11 На портале управления ald2.trust выполнить выход из сессии пользователя user2. Выполнить вход под УЗ пользователя, который был создан на шаге №7. Выполнить сброс пароля на любой корректный.	Пароль пользователя, созданного на шаге №7, успешно сброшен и активен. Пользователь выполнил вход на портал управления ald2.trust.
Шаг 12 Вернуться на компьютер client домена ald1.trust - шаг №3. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя user2. В поле для ввода пароля ввести новый пароль от УЗ user2, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.
Шаг 13 Выйти из сессии пользователя user2. Выбрать домен ald2.trust (если он не выбран). В поле для ввода логина ввести логин пользователя, который был создан на шаге №7. В поле для ввода пароля ввести новый пароль от данной УЗ, который был сброшен на шаге №10. Выполнить вход, нажав на соответствующую кнопку.	Вход под УЗ домена ald2.trust на клиент домена ald1.trust выполнен успешно - отображен рабочий стол.

Выполнение операций в доверенном домене под пользователем с ролью «Главный администратор» (исходящие ДО ALD Pro)

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 3.2.0 или выше):

   1. d1

   2. d2

2. В домене d1 настроены Исходящие доверительные отношения с доменом d2.

3. В домене d2 присутствует любая активная УЗ, для которой сброшен пароль (условное обозначение - user2).

4. В домен d1 введено любое количество компьютеров.

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить вход на ПУ домена d1 под УЗ user2: В поле «Логин» ввести значение «{Пользователь}@{Домен2}»; В поле «Пароль» ввести корректное значение пароля пользователя {Пользователь} в домене {Домен2}.	Вход выполнен успешно - отображен рабочий стол портала управления, который содержит все разделы, доступные для роли ALDPRO - Main Administrator: Управление доменом; Пользователи и компьютеры; Групповые политики; Установка и обновление ПО; Автоматизация; Роли и службы сайта; Мониторинг; Журнал событий; Модуль синхронизации.
Шаг 2 Раскрыть раздел «Управление доменом», нажав на соответствующий заголовок.	Пользователю доступны только следующие подразделы раздела «Управление доменом»: Общая информация; Сайты и службы; Доп. параметры групповых политик; Каталог заданий автоматизации; Службы и параметры Kerberos; Пользователи и группы; Интеграция с доменами; Роли и права доступа; МРД.
Шаг 3 Перейти: Управление доменом → Общая информация.	Пользователю доступен просмотр всех страниц подраздела.
Шаг 4 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) с объектами на любой вкладке подразделов: Управление доменом → Сайты и службы. Управление доменом → Доп. параметры групповых политик. Управление доменом → Каталог заданий автоматизации. Управление доменом → Службы и параметры Kerberos. Управление доменом → Пользователи и группы. Управление доменом → Интеграция с доменами. Управление доменом → Роли и права доступа.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов каждого подраздела.
Шаг 5 Перейти: Управление доменом → МРД.	Пользователю недоступен подраздел «МРД». Отображена заглушка с текстом «Недостаточно прав для просмотра информации». Для доступа к подразделу «МРД» пользователь должен состоять в группе «admins».
Шаг 6 Перейти на рабочий стол портала управления. Раскрыть раздел «Пользователи и компьютеры», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Пользователи и компьютеры»: Организационная структура; Пользователи; Группы пользователей; Компьютеры; Группы компьютеров; Корзина.
Шаг 7 Перейти: Пользователи и компьютеры → Организационная структура. Создать подразделение. Перейти в карточку любого подразделения. Внести любые изменения на любой вкладке карточки подразделения.	Действие выполнено успешно, пользователю доступны просмотр дерева подразделений и создание подразделений. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки подразделения.
Шаг 8 Перейти: Пользователи и компьютеры → Пользователи. Выполнить любые действия (создание/удаление) с пользователем. Перейти в карточку любого пользователя. Внести любые изменения на любой вкладке карточки пользователя (кроме «МРД»).	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление пользователей. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки пользователя.
Шаг 9 В карточке пользователя перейти на вкладку «МРД».	Пользователю недоступна вкладка «МРД». Отображена заглушка с текстом «Недостаточно прав для просмотра информации». Для доступа к вкладке «МРД» пользователь должен состоять в группе «admins».
Шаг 10 Перейти: Пользователи и компьютеры → Группы пользователей. Выполнить любые действия (создание/удаление) с группой пользователей. Примечание: не удалять предустановленные группы пользователей. Перейти в карточку любой группы. Внести любые изменения на любой вкладке карточки группы пользователей.	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление группы пользователей. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки группы пользователей.
Шаг 11 Перейти: Пользователи и компьютеры → Компьютеры. Перейти в карточку компьютера. Внести любые изменения на любой вкладке карточки компьютера. В карточке компьютера перейти на вкладку «Удаленный доступ». Выполнить просмотр доступных подключений. Выполнить удаленное подключение к компьютеру. В карточке компьютера перейти на вкладку «Локальный пароль». Внести изменения в поле «Установить новый срок действия пароля», указав дату и время больше текущей. Нажать на кнопку «Установить». Перейти в карточку любого компьютера. Нажать на кнопку «Удалить компьютер» и подтвердить действие.	Действие выполнено успешно, пользователю доступны просмотр и изменение карточки компьютера. Действия выполнены успешно, пользователю доступны просмотр доступных подключений и удаленное подключение к компьютеру. Пользователю доступен просмотр данных на вкладке, а также получение (копирование) пароля и изменение срока его действия. Операция выполнена успешно, в поле «Пароль локального администратора действителен до» отображено измененное значение. Действия выполнены успешно, пользователю доступно удаление компьютера.
Шаг 12 Перейти: Пользователи и компьютеры → Группы компьютеров. Выполнить любые действия (создание/удаление) с группой компьютеров. Примечание: не удалять предустановленные группы компьютеров. Перейти в карточку любой группы. Внести любые изменения на любой вкладке карточки группы компьютеров.	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление группы компьютеров. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки группы компьютеров.
Шаг 13 Перейти: Пользователи и компьютеры → Корзина. Выполнить любые действия (удаление/восстановление) с пользователем в корзине.	Действие выполнено успешно, пользователю доступны удаление и восстановление пользователей из корзины.
Шаг 14 Перейти на рабочий стол портала управления. Раскрыть раздел «Групповые политики», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Групповые политики»: Групповые политики; Политики доступа к узлу; Политики повышения привилегий; Политики паролей.
Шаг 15 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) на любой вкладке подразделов: Групповые политики → Групповые политики. Групповые политики → Политики доступа к узлу. Групповые политики → Политики повышения привилегий. Групповые политики → Политики паролей.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов подраздела.
Шаг 16 Перейти на рабочий стол портала управления. Раскрыть раздел «Установка и обновление ПО», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Установка и обновление ПО»: Политики ПО; Каталог ПО; Репозитории ПО; Политики обновления ALD Pro.
Шаг 17 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) на любой вкладке подразделов: Установка и обновление ПО → Политики ПО. Установка и обновление ПО → Каталог ПО. Установка и обновление ПО → Репозитории ПО. Установка и обновление ПО → Политики обновления ALD Pro.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов подраздела.
Шаг 18 Перейти на рабочий стол портала управления. Раскрыть раздел «Автоматизация», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Автоматизация»: Задания автоматизации; Установка ОС по сети.
Шаг 19 Перейти: Автоматизация → Задания автоматизации.	Пользователю доступен просмотр всех страниц подраздела.
Шаг 20 Перейти: Автоматизация → Задания автоматизации → Каталог заданий автоматизации. Запустить любое задание автоматизации на любой компьютер, группу компьютеров или подразделение.	Пользователю доступен запуск заданий автоматизации.
Шаг 21 Перейти: Автоматизация → Установка ОС по сети. Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Установка ОС по сети». Выполнить любые действия (создание/изменение/удаление объекта) на любой вкладке в карточке сервера «Установка ОС по сети».	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление, удаление и редактирование подсистемы «Установка ОС по сети».
Шаг 22 Перейти на рабочий стол портала управления. Раскрыть раздел «Роли и службы сайта», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Роли и службы сайта»: Служба разрешения имён; Служба динамической настройки узла; Служба синхронизации времени; Служба печати; Общий доступ к файлам; Служба глобального каталога.
Шаг 23 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/разворачивание/обновление/удаление) на любой вкладке подразделов: Роли и службы сайта → Служба разрешения имён. Роли и службы сайта → Служба динамической настройки узла. Роли и службы сайта → Служба синхронизации времени. Роли и службы сайта → Служба печати. Роли и службы сайта → Общий доступ к файлам. Роли и службы сайта → Служба глобального каталога.	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление, удаление и редактирование подсистемы.
Шаг 24 Перейти на рабочий стол портала управления. Раскрыть раздел «Мониторинг», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Мониторинг»: Журнал событий мониторинга; Витрины мониторинга домена.
Шаг 25 Перейти на рабочий стол портала управления. Раскрыть раздел «Мониторинг», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Мониторинг»: Журнал событий мониторинга; Витрины мониторинга домена.
Шаг 26 Перейти: Мониторинг → Журнал событий мониторинга. Перейти на вкладку «Серверы мониторинга». Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Мониторинг». Перейти: Мониторинг → Витрины мониторинга домена. Выбрать на просмотр любую витрину для любого сервера.	Пользователю доступен просмотр всех данных на странице. Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление и удаление подсистемы «Мониторинг». Пользователю доступен просмотр всех данных на странице.
Шаг 27 Перейти на рабочий стол портала управления. Раскрыть раздел «Журнал событий», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Журнал событий»: Серверы журнала событий; Настройка сбора журналов событий.
Шаг 28 Перейти: Журнал событий → Серверы журнала событий. Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Журнал событий». Перейти: Журнал событий → Настройка сбора журналов событий. Внести любые действия (создание/изменение/удаление) с правилами сбора событий.	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление и удаление подсистемы «Серверы журнала событий». Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление правил сбора событий.
Шаг 29 Перейти на рабочий стол портала управления. Раскрыть раздел «Модуль синхронизации», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Модуль синхронизации»: Настройки; Источники; Сопоставление атрибутов.
Шаг 30 Перейти: Модуль синхронизации → Настройки. Выполнить любые действия (добавление/изменение/удаление) с контроллером домена AD или контроллером домена ALD. Перейти: Модуль синхронизации → Источники. Создать/удалить сопоставление подразделений. Перейти: Модуль синхронизации → Сопоставление атрибутов. Выполнить любые действия (добавление/изменение/удаление) с атрибутами.	Действие выполнено успешно, пользователю доступны просмотр, добавление, изменение и удаление контроллеров домена AD и ALD. Действие выполнено успешно, пользователю доступны просмотр, создание и удалений сопоставления подразделений. Действие выполнено успешно, пользователю доступны просмотр, добавление, изменение и удаление атрибутов AD, атрибутов ALD и их сопоставлений.

Выполнение операций в доверенном домене под пользователем с ролью «Главный администратор» (двусторонние ДО ALD Pro)

Требования:

1. В инфраструктуре развернуты следующие домены ALD Pro (версия системы на каждом - 3.2.0 или выше):

   1. ald1

   2. ald2

2. В домене ald1 настроены Двусторонние доверительные отношения с доменом ald2.

3. домене ald2 присутствует любая активная УЗ, для которой сброшен пароль (условное обозначение - user2).

4. В домен ald1 введено любое количество компьютеров.

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить вход на ПУ домена ald1 под УЗ user2: В поле «Логин» ввести значение «{Пользователь}@{Домен2}»; В поле «Пароль» ввести корректное значение пароля пользователя {Пользователь} в домене {Домен2}.	Вход выполнен успешно - отображен рабочий стол портала управления, который содержит все разделы, доступные для роли ALDPRO - Main Administrator: Управление доменом; Пользователи и компьютеры; Групповые политики; Установка и обновление ПО; Автоматизация; Роли и службы сайта; Мониторинг; Журнал событий; Модуль синхронизации.
Шаг 2 Раскрыть раздел «Управление доменом», нажав на соответствующий заголовок.	Пользователю доступны только следующие подразделы раздела «Управление доменом»: Общая информация; Сайты и службы; Доп. параметры групповых политик; Каталог заданий автоматизации; Службы и параметры Kerberos; Пользователи и группы; Интеграция с доменами; Роли и права доступа; МРД.
Шаг 3 Перейти: Управление доменом → Общая информация.	Пользователю доступен просмотр всех страниц подраздела.
Шаг 4 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) с объектами на любой вкладке подразделов: Управление доменом → Сайты и службы. Управление доменом → Доп. параметры групповых политик. Управление доменом → Каталог заданий автоматизации. Управление доменом → Службы и параметры Kerberos. Управление доменом → Пользователи и группы. Управление доменом → Интеграция с доменами. Управление доменом → Роли и права доступа.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов каждого подраздела.
Шаг 5 Перейти: Управление доменом → МРД.	Пользователю недоступен подраздел «МРД». Отображена заглушка с текстом «Недостаточно прав для просмотра информации». Для доступа к подразделу «МРД» пользователь должен состоять в группе «admins».
Шаг 6 Перейти на рабочий стол портала управления. Раскрыть раздел «Пользователи и компьютеры», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Пользователи и компьютеры»: Организационная структура; Пользователи; Группы пользователей; Компьютеры; Группы компьютеров; Корзина.
Шаг 7 Перейти: Пользователи и компьютеры → Организационная структура. Создать подразделение. Перейти в карточку любого подразделения. Внести любые изменения на любой вкладке карточки подразделения.	Действие выполнено успешно, пользователю доступны просмотр дерева подразделений и создание подразделений. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки подразделения.
Шаг 8 Перейти: Пользователи и компьютеры → Пользователи. Выполнить любые действия (создание/удаление) с пользователем. Перейти в карточку любого пользователя. Внести любые изменения на любой вкладке карточки пользователя (кроме «МРД»).	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление пользователей. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки пользователя.
Шаг 9 В карточке пользователя перейти на вкладку «МРД».	Пользователю недоступна вкладка «МРД». Отображена заглушка с текстом «Недостаточно прав для просмотра информации». Для доступа к вкладке «МРД» пользователь должен состоять в группе «admins».
Шаг 10 Перейти: Пользователи и компьютеры → Группы пользователей. Выполнить любые действия (создание/удаление) с группой пользователей. Примечание: не удалять предустановленные группы пользователей. Перейти в карточку любой группы. Внести любые изменения на любой вкладке карточки группы пользователей.	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление группы пользователей. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки группы пользователей.
Шаг 11 Перейти: Пользователи и компьютеры → Компьютеры. Перейти в карточку компьютера. Внести любые изменения на любой вкладке карточки компьютера. В карточке компьютера перейти на вкладку «Удаленный доступ». Выполнить просмотр доступных подключений. Выполнить удаленное подключение к компьютеру. В карточке компьютера перейти на вкладку «Локальный пароль». Внести изменения в поле «Установить новый срок действия пароля», указав дату и время больше текущей. Нажать на кнопку «Установить». Перейти в карточку любого компьютера. Нажать на кнопку «Удалить компьютер» и подтвердить действие.	Действие выполнено успешно, пользователю доступны просмотр и изменение карточки компьютера. Действия выполнены успешно, пользователю доступны просмотр доступных подключений и удаленное подключение к компьютеру. Пользователю доступен просмотр данных на вкладке, а также получение (копирование) пароля и изменение срока его действия. Операция выполнена успешно, в поле «Пароль локального администратора действителен до» отображено измененное значение. Действия выполнены успешно, пользователю доступно удаление компьютера.
Шаг 12 Перейти: Пользователи и компьютеры → Группы компьютеров. Выполнить любые действия (создание/удаление) с группой компьютеров. Примечание: не удалять предустановленные группы компьютеров. Перейти в карточку любой группы. Внести любые изменения на любой вкладке карточки группы компьютеров.	Действие выполнено успешно, пользователю доступны просмотр, создание, удаление группы компьютеров. Действие выполнено успешно, пользователю доступны просмотр и изменение карточки группы компьютеров.
Шаг 13 Перейти: Пользователи и компьютеры → Корзина. Выполнить любые действия (удаление/восстановление) с пользователем в корзине.	Действие выполнено успешно, пользователю доступны удаление и восстановление пользователей из корзины.
Шаг 14 Перейти на рабочий стол портала управления. Раскрыть раздел «Групповые политики», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Групповые политики»: Групповые политики; Политики доступа к узлу; Политики повышения привилегий; Политики паролей.
Шаг 15 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) на любой вкладке подразделов: Групповые политики → Групповые политики. Групповые политики → Политики доступа к узлу. Групповые политики → Политики повышения привилегий. Групповые политики → Политики паролей.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов подраздела.
Шаг 16 Перейти на рабочий стол портала управления. Раскрыть раздел «Установка и обновление ПО», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Установка и обновление ПО»: Политики ПО; Каталог ПО; Репозитории ПО; Политики обновления ALD Pro.
Шаг 17 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/удаление) на любой вкладке подразделов: Установка и обновление ПО → Политики ПО. Установка и обновление ПО → Каталог ПО. Установка и обновление ПО → Репозитории ПО. Установка и обновление ПО → Политики обновления ALD Pro.	Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление объектов подраздела.
Шаг 18 Перейти на рабочий стол портала управления. Раскрыть раздел «Автоматизация», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Автоматизация»: Задания автоматизации; Установка ОС по сети.
Шаг 19 Перейти: Автоматизация → Задания автоматизации.	Пользователю доступен просмотр всех страниц подраздела.
Шаг 20 Перейти: Автоматизация → Задания автоматизации → Каталог заданий автоматизации. Запустить любое задание автоматизации на любой компьютер, группу компьютеров или подразделение.	Пользователю доступен запуск заданий автоматизации.
Шаг 21 Перейти: Автоматизация → Установка ОС по сети. Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Установка ОС по сети». Выполнить любые действия (создание/изменение/удаление объекта) на любой вкладке в карточке сервера «Установка ОС по сети».	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление, удаление и редактирование подсистемы «Установка ОС по сети».
Шаг 22 Перейти на рабочий стол портала управления. Раскрыть раздел «Роли и службы сайта», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Роли и службы сайта»: Служба разрешения имён; Служба динамической настройки узла; Служба синхронизации времени; Служба печати; Общий доступ к файлам; Служба глобального каталога.
Шаг 23 Последовательно перейти на каждый из подразделов и выполнить любые действия (создание/изменение/разворачивание/обновление/удаление) на любой вкладке подразделов: Роли и службы сайта → Служба разрешения имён. Роли и службы сайта → Служба динамической настройки узла. Роли и службы сайта → Служба синхронизации времени. Роли и службы сайта → Служба печати. Роли и службы сайта → Общий доступ к файлам. Роли и службы сайта → Служба глобального каталога.	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление, удаление и редактирование подсистемы.
Шаг 24 Перейти на рабочий стол портала управления. Раскрыть раздел «Мониторинг», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Мониторинг»: Журнал событий мониторинга; Витрины мониторинга домена.
Шаг 25 Перейти на рабочий стол портала управления. Раскрыть раздел «Мониторинг», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Мониторинг»: Журнал событий мониторинга; Витрины мониторинга домена.
Шаг 26 Перейти: Мониторинг → Журнал событий мониторинга. Перейти на вкладку «Серверы мониторинга». Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Мониторинг». Перейти: Мониторинг → Витрины мониторинга домена. Выбрать на просмотр любую витрину для любого сервера.	Пользователю доступен просмотр всех данных на странице. Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление и удаление подсистемы «Мониторинг». Пользователю доступен просмотр всех данных на странице.
Шаг 27 Перейти на рабочий стол портала управления. Раскрыть раздел «Журнал событий», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Журнал событий»: Серверы журнала событий; Настройка сбора журналов событий.
Шаг 28 Перейти: Журнал событий → Серверы журнала событий. Выполнить любые действия (разворачивание/обновление/удаление) с сервером «Журнал событий». Перейти: Журнал событий → Настройка сбора журналов событий. Внести любые действия (создание/изменение/удаление) с правилами сбора событий.	Действие выполнено успешно, пользователю доступны просмотр, разворачивание, обновление и удаление подсистемы «Серверы журнала событий». Действие выполнено успешно, пользователю доступны просмотр, создание, изменение и удаление правил сбора событий.
Шаг 29 Перейти на рабочий стол портала управления. Раскрыть раздел «Модуль синхронизации», нажав на соответствующий заголовок.	Пользователю доступны следующие подразделы раздела «Модуль синхронизации»: Настройки; Источники; Сопоставление атрибутов.
Шаг 30 Перейти: Модуль синхронизации → Настройки. Выполнить любые действия (добавление/изменение/удаление) с контроллером домена AD или контроллером домена ALD. Перейти: Модуль синхронизации → Источники. Создать/удалить сопоставление подразделений. Перейти: Модуль синхронизации → Сопоставление атрибутов. Выполнить любые действия (добавление/изменение/удаление) с атрибутами.	Действие выполнено успешно, пользователю доступны просмотр, добавление, изменение и удаление контроллеров домена AD и ALD. Действие выполнено успешно, пользователю доступны просмотр, создание и удалений сопоставления подразделений. Действие выполнено успешно, пользователю доступны просмотр, добавление, изменение и удаление атрибутов AD, атрибутов ALD и их сопоставлений.

Синхронизация пользователей и группы пользователей ALD Pro с глобальным каталогом

Предварительные условия, выполняемые по умолчанию:

1. Установка/обновление ALD Pro выполнена с глобальным каталогом (см. пункт 4.1 Руководства администратора)

2. Проверить вывод команды sudo aldproctl status на КД: должны присутствовать строки «dirsrv@GLOBAL-CATALOG Service: RUNNING» и «ipa-gcsyncd Service: RUNNING»

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить подключение к глобальному каталогу. $ HOST=$(grep ^nameserver /etc/resolv.conf|cut -d „ „ -f2) $ ldapsearch -Q -LLL -H ldap://$HOST:3268 -s base Для подключения к глобальному каталогу посредством Apache Directory Studio использовать следующие данные: Connection name = любое уникальное значение Hostname = машина, на которой развернут первый контроллер домена ALD Pro (dc01) Port = 3268 Bind DN or user = «cn = Directory Manager» Bind password - пароль от УЗ admin, который был задан при установке системы	Подключение выполнено успешно.
Шаг 2 Перейти в директорию cn=users. $ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name uidNumber gidNumber	Директория содержит полный перечень пользователей и внешних групп пользователей домена.
Шаг 3 Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи.	Отображена таблица с перечнем пользователей домена.
Шаг 4 Добавить минимум 10 различных пользователей: Нажать на кнопку «+ Создать». Заполнить поля любыми корректными уникальными значениями. Нажать на кнопку «Сохранить» и подтвердить операцию.	Пользователи успешно добавлены в домен ALD Pro и отображаются в таблице.
Шаг 5 Выполнить подключение к глобальному каталогу и перейти в директорию cn=users (повторить шаг №2).	Директория содержит полный перечень пользователей и внешних групп пользователей домена - к объектам, которые были отображены на шаге №2, также синхронизированы пользователи, которые были созданы на шаге №4.
Шаг 6 В глобальном каталоге перейти в карточку любого пользователя, который был создан на шаге №4. $ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name=[логин произвольного пользователя]	Отображена карточка выбранного пользователя.
Шаг 7 Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи. Перейти в карточку любого пользователя (кроме admin) и внести любые корректные изменения в следующие поля: Имя Фамилия Отображаемое имя Электронный адрес сотрудника Нажать на кнопку «Сохранить» и подтвердить операцию.	Пользователь успешно изменен.
Шаг 8 Выполнить подключение к глобальному каталогу и перейти в карточку пользователя, который был изменен на шаге №7 (повторить шаг №6).	Атрибуты, соответствующие измененным на шаге №7 полям, содержат обновленные данные.
Шаг 9 Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи. Удалить любое количество любых пользователей (кроме admin).	Пользователи успешно удалены.
Шаг 10 Выполнить подключение к глобальному каталогу и перейти в директорию cn=users (повторить шаг №2).	Пользователи, которые были удалены на шаге №9, отсутствуют в директории cn=users.
Шаг 11 Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Пользователи → Форма создания нового пользователя. Заполнить поля любыми корректными значениями, при этом в поле «Имя» и «Фамилия» указать значения, которые уже заданы для любого пользователя домена ALD Pro. Нажать на кнопку сохранить и подтвердить операцию.	Пользователь успешно создан.
Шаг 12 Выполнить подключение к глобальному каталогу и перейти в директорию cn=users. $ ldapsearch -Q -LLL -H ldap://$HOST:3268 -b cn=users,$SUFFIX name uidNumber gidNumber displayName	Пользователь, добавленный на шаге №11, отображен в глобальном каталоге.
Шаг 13 Под УЗ администратора выполнить вход на портал управления и перейти: Пользователи и компьютеры → Группы пользователей.	Отображена таблица с перечнем всех групп пользователей домена (содержит и внутренние, и внешние группы).
Шаг 14 Повторить шаги 4-12 для групп пользователей. После выполнить команду: $ unset HOST	ОР соответствует шагам 4-12

Обработка запрещенных символов при синхронизации группы

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить вход на машину winad под УЗ winadmin.	Вход выполнен успешно.
Шаг 2 Перейти в оснастку «Active Directory - Пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.	Отображается содержимое подразделения «Подразделение А».
Шаг 3 Нажать ПКМ > Создать > Группа; Заполнить поле: «Имя группы» = «,;:!?“»»«(){}[]$# №%@&|/ tn^=+*<>». Нажать кнопку «OK».	Созданная группа отображается в подразделении «Подразделение А».
Шаг 4 Перейти в карточку созданной группы. Заполнить поле «Описание». «Описание» = «Описание№»«tn{}|». Нажать на кнопку «Применить».	Значение поля «Описание» изменено.
Шаг 5 На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».	Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.
Шаг 6 Нажать на кнопку «+ Создать»; В поле «Источник» выбрать подразделение AD - «Подразделение A»; В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»; Нажать на кнопку «Сохранить».	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи. Первая: Столбец «Источник» - содержит значение «Подразделение А». Столбец «Получатель» - содержит значение «Подразделение Х». Вторая (данная запись создана для обратной синхронизации паролей пользователей): Столбец «Источник» - содержит значение «Подразделение Х». Столбец «Получатель» - содержит значение «Подразделение А».
Шаг 7 Перейти: Пользователи и компьютеры → Группы пользователей → Карточка группы, которая была создана в AD на шаге №3.	Отображается карточка группы пользователей.Поля карточки содержат следующие значения: «Название группы» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.p. n.o.r.s.t.u.v.y.z.a_b_c_d_e_f_h_g_» произведена замена запрещенных символов в поле «Имя группы» в AD «Описание» отображается значение «Описаниеo.g.h.a_b_j.k.u.» произведена замена запрещенных символов в поле «Описание» группы в AD.

Обработка запрещенных символов при синхронизации пользователей

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить вход на машину winad под УЗ winadmin.	Вход выполнен успешно.
Шаг 2 Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.	Отображается содержимое подразделения «Подразделение А».
Шаг 3 Нажать ПКМ > Создать > Пользователь; Заполнить поле: «Имя» = «,;:!?“»»«(){}[]# №%@&|/tn^=+*<>»; «Фамилия» = «,;:!?“»»«(){}[]# №%@&|/tn^=+*<>»; «Имя входа пользователя» = «log!“»«(){}$#%& ^». Нажать кнопку «Далее». Указать любой корректный пароль. Сохранить.	Созданный пользователь отображается в подразделении «Подразделение А».
Шаг 4 В AD: Перейти в карточку пользователя, созданного на шаге №3 → Вкладка «Редактор атрибутов». Заполнить атрибуты пользователя: «displayName» = «Имя№»«tn{}|»; «title» = «Должность№»«tn{}|»; «streetAddress» = «Улица№»«tn{}|»; «l» = «Город№»«tn{}|»; «st» = «Область№»«tn{}|». Нажать на кнопку «Применить».	Изменены значения атрибутов: displayName; title; streetAddress; l; st. Значения атрибутов соответствуют данным введённым на данном шаге.
Шаг 5 На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».	Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.
Шаг 6 Нажать на кнопку «+ Создать»; В поле «Источник» выбрать подразделение AD - «Подразделение A»; В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»; Нажать на кнопку «Сохранить».	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи. Первая: Столбец «Источник» - содержит значение «Подразделение А». Столбец «Получатель» - содержит значение «Подразделение Х». Вторая (данная запись создана для обратной синхронизации паролей пользователей): Столбец «Источник» - содержит значение «ALD». Столбец «Получатель» - содержит значение «AD».
Шаг 7 Перейти: Пользователи и компьютеры → Группы пользователей → Карточка группы, которая была создана в AD на шаге №3.	Отображена карточка выбранного пользователя, вкладка «Основное». Поля карточки содержат следующие значения: «Логин» отображается значение «logd.f.g.h.x.i.j.k.p.n.r.t.z.c_» - произведена замена запрещенных символов в поле «Имя входа пользователя» в AD. «Фамилия» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.n. o.r.s.t.u.v.y.a_b_c_d_e_f_h_g_» - произведена замена запрещенных символов в поле «Фамилия» в AD. «Имя» отображается значение «a.b.c.d.e.f.h.g.h.x.i.j.k.q.l.n. o.r.s.t.u.v.y.a_b_c_d_e_f_h_g_» - произведена замена запрещенных символов в поле «Имя» в AD. «Отображаемое имя» отображается значение «Имяo.g.h.a_b_j.k.u.» произведена замена запрещенных символов в поле «Выводимое имя» в AD. «Должность» отображается значение «Должностьo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «title» в AD. «Улица» отображается значение «Улицаo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «streetAddress» в AD. «Город» отображается значение «Городo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «l» в AD.
Шаг 7 Продолжение	Отображена карточка выбранного пользователя, вкладка «Основное». Поля карточки содержат следующие значения: «Область, край» отображается значение «Областьo.g.h.a_b_j.k.u.». Произведена замена запрещенных символов в атрибуте «st» в AD.

Обработка запрещенных символов в атрибуте ou при синхронизации подразделения

Шаги проверки	Ожидаемый результат
Шаг 1 Выполнить вход на машину winad под УЗ winadmin.	Вход выполнен успешно.
Шаг 2 Перейти в оснастку «Active Directory - пользователи и компьютеры». В дереве контейнеров выбрать подразделение А.	Отображается содержимое подразделения «Подразделение А».
Шаг 3 Нажать ПКМ > Создать > Подразделение; «Имя» = «,;:!(){}[]$# №%@&|/t^=+*<>». Нажать кнопку «ОК».	Созданное подразделение отображается в подразделении «Подразделение А».
Шаг 4 На портале управления ALD Pro перейти: Модуль синхронизации → Источники → Вкладка «Сопоставление подразделений».	Отображена таблица с перечнем сопоставленных подразделений AD и ALD Pro для синхронизации.
Шаг 5 Нажать на кнопку «+ Создать»; В поле «Источник» выбрать подразделение AD - «Подразделение A»; В поле «Получатель» выбрать подразделение ALD Pro - «Подразделение X»; Нажать на кнопку «Сохранить».	Операция выполнена успешно - отображено соответствующее уведомление. Пользователь перенаправлен на вкладку «Сопоставление подразделений». В таблице создано две записи. Первая: Столбец «Источник» - содержит значение «Подразделение А». Столбец «Получатель» - содержит значение «Подразделение Х». Вторая (данная запись создана для обратной синхронизации паролей пользователей): Столбец «Источник» - содержит значение «Подразделение Х». Столбец «Получатель» - содержит значение «Подразделение А».
Шаг 6 Перейти: Пользователи и компьютеры → Организационная структура → Подразделение X → Вкладка «Дочерние подразделения».	Отображается таблица, содержащая дочерние подразделения подразделения «подразделения X». В таблице присутствует подразделение, созданное в AD на шаге №3. Поле «Наименование подразделения» содержит значение после произведенной замены запрещенных символов в поле «Имя» в AD в соответствии с правилам замены. Пример для тестовых данных из шага №3 - «a.b.c.d.x.i.j.k.q.l.p.n. o.r.s.t.u.v.y.a_c_d_e_f_h_g_».