Модуль синхронизации

Раздел описывает назначение, архитектуру, предварительные требования и порядок настройки модуля синхронизации (Syncer) в ALD Pro, а также особенности работы с паролями, сертификатами и защищенными соединениями.

Модуль синхронизации является отдельным от портала управления модулем. Основная задача модуля синхронизации – миграция в реальном времени изменений отлеживаемых LDAP-объектов в подключенном сервере Active Directory в контроллер домена ALD Pro, за которым закреплен модуль синхронизации.

Синхронизация может быть односторонней (MS AD → ALD Pro) и двусторонней (MS AD ←→ ALD Pro).

Односторонняя синхронизация доступна объектам:

• User (Пользователи);

• OU (Подразделения);

• User Groups (Группы пользователей).

Двусторонняя синхронизация реализована только для паролей пользователей.

Важно

Для работы модуля синхронизации на контроллере домена Windows Active Directory необходимо установить утилиту passwdhk на контроллере домена, используя установочный файл PasswdhkSetup.msi. Утилита автоматически регистрируется как фильтр паролей и не требует ручного конфигурирования групповых политик (GPO).

Модуль синхронизации имеет ряд ограничений в части синхронизации объектов, имеющих в своем составе специальные символы. Для удобства работы предоставлен инструмент обработки запрещенных символов (см. раздел Полезные инструкции → Синхронизация объектов, содержащих специальные символы).

Содержание

• Архитектура и компоненты модуля синхронизации
  • Диаграмма контейнеров
  • Функции компонентов
• Настройки
  • Контроллеры домена AD
    • Создание нового контроллера AD
    • Редактирование контроллера AD
    • Удаление контроллера AD
  • Контроллеры домена ALD
    • Создание нового контроллера ALD
    • Редактирование контроллера ALD
    • Удаление контроллера ALD
  • Синхронизация паролей
• Источники
  • Сопоставление подразделений
    • Создание нового сопоставления
    • Удаление сопоставления
  • Структура дерева синхронизации
    • Конфликты синхронизации
• Сопоставление атрибутов
  • Карта сопоставлений
    • Сопоставления по умолчанию
    • Создание нового сопоставления
    • Удаление сопоставления
  • Атрибуты AD
    • Атрибуты AD по умолчанию
    • Создание нового атрибута AD
    • Удаление атрибута AD
  • Атрибуты ALD
    • Атрибуты ALD по умолчанию
    • Создание нового атрибута ALD
    • Удаление атрибута ALD
• Недопустимость вложенных точек синхронизации
• Дополнительная настройка модуля синхронизации
  • Исходные настройки
    • Выгрузка сертификатов для контроллера домена MS AD
    • Выгрузка сертификатов для контроллера домена ALD Pro
  • Настройка синхронизации паролей MS AD → ALD
    • Установка passwdhk на контроллер домена (если ранее не устанавливался)
  • Обновление passwdhk, установленного через групповую политику (GPO), на версию MSI
  • Автоматизированная установка passwdhk через MST-файл
    • Создание MST-файла
    • Подготовка файлов для установки
    • Настройка групповой политики
    • Применение политики
  • Синхронизация паролей ALD Pro → MS AD
    • Получение открытого ключа
    • Синхронизация паролей
  • Включение TLS на Windows Server 2008R2
    • Алгоритм включения TLS
  • Особенности настройки при миграции большого количества объектов

Особенности работы модуля синхронизации

1. При настройке модуля синхронизации рекомендуется поддерживать соотношение доменов один к одному, то есть выполнять синхронизацию объектов из одного домена MS AD в один домен ALD Pro. Настройка синхронизации из нескольких доменов MS AD в один домен ALD Pro увеличивает риски возникновения конфликтов синхронизации (так как конфликты могут возникать и между объектами доменов MS AD).

2. Нельзя производить переименование подразделений, добавленных в Сопоставление подразделений. Если возникла такая необходимость, корректно будет удалить сопоставление, произвести переименование и создать новое сопоставление подразделений. Область работы модуля синхронизации ограничена типами объектов User, Group, OrganizationalUnit, а так же контейнером CN=Users. Объекты других типов не отображаются для выбора в источниках синхронизации.

3. Нельзя создавать сопоставления подразделений для дочерних подразделений подразделения, уже участвующего в синхронизации.

4. В домене ALD Pro в разделе Управление доменом → Пользователи и группы содержится настройка Максимальная длина имени пользователя. Для успешной синхронизации длина имени пользователя AD должна быть меньше установленного значения, в противном случае возникнет ошибка синхронизации.

5. Необходимо учесть, что в момент синхронизации учетная запись синхронизируемого пользователя временно блокируется. Блокировка не превышает 30 секунд.

6. Атрибуты по умолчанию и соответствующие им сопоставления ограничены перечнем обязательных атрибутов для объектов ALD Pro:

   • Пользователи: Логин, Пароль, Подразделение, Фамилия либо Имя

   • Группы пользователей: Название группы, Подразделение

   • Подразделения: Наименование подразделения, Родительское подразделение.

   Однако не все эти атрибуты явно указаны на карточке Атрибуты AD, Атрибуты ALD, так как их синхронизация происходит внутренними процессами модуля синхронизации. Добавляя эти атрибуты в явном виде в Карте сопоставления, есть риск нарушить логику работы модуля синхронизации.

7. Наименование подразделений, наименования групп, логины пользователей не должны содержать специальных символов, за исключением “.”, “-”, “_“.

8. Модуль синхронизации может быть установлен при первичной установке или в процессе обновления контроллера домена. Ограничением настоящей версии является установка модуля синхронизации только на первый контроллер домена. В случае отключении первого контроллера домена, синхронизация новых данных, добавленных после отключения первого контроллера домена, выполняться не будет. Ранее синхронизированные данные сохранятся и будут реплицироваться между контроллерами домена, для которых созданы соглашения о репликации.

9. Для успешной синхронизации учетную запись администратора, которая используется для подключения к контроллеру домена, необходимо добавить в группу admins.

10. При изменении пароля синхронизированного пользователя через интерфейс FreeIpa, синхронизация пароля ALD Pro → AD не произойдет. Для изменения пароля с последующей успешной синхронизацией необходимо использовать интерфейс ALD Pro.

11. Процесс изменения пароля пользователя через личный кабинет с последующей синхронизацией ALD Pro → AD проходит успешно, только при использовании личного кабинета, на котором был развернут модуль синхронизации.

12. При сбросе пароля пользователя через интерфейс ALD Pro временный пароль не синхронизируется. После сброса пароля пользователя необходимо залогиниться в домене, изменить пароль с временного на постоянный и только тогда произойдет синхронизация пароля ALD Pro → AD.

13. Пароли пользователей MS AD, установленные до настройки модуля синхронизации, синхронизированы не будут.

Синхронизация паролей пользователей после настройки модуля синхронизации и сопоставлений подразделений происходит по логике:

• синхронизирован пользователь в домен ALD Pro → изменен пароль пользователя в домене MS AD → синхронизирован пароль пользователя в домен ALD Pro;

• создан пользователь в домене MS AD → синхронизирован пользователь в домен ALD Pro.

14. При настройке синхронизации паролей между ALD Pro и MS AD рекомендуется вручную задать согласованные значения параметров политики паролей в обеих системах, так как их автоматическая синхронизация не предусмотрена.

15. При изменении расположения синхронизированного подразделения через MS AD, групповые политики привязанные к подразделению в домене ALD Pro, не сохранятся.

Варианты решения:

• Планировать иерархию подразделений таким образом, чтобы перенос подразделений не сказывался на работе групповых политик: добавление еще одного уровня вложенности, на который будут применяться ГП;

• Повторно привязывать групповые политики после переноса подразделения.