АРХИВА 10 Help

Active Directory (Kerberos)

Для использования Kerberos-аутентификации необходимо убедиться, что в системе DNS в зонах обратного просмотра присутствует PTR-запись для полного доменного имени (FQDN) и URL (если URL отличается от FQDN) каждого узла где установлена АРХИВА.

Добавление PTR записи АРХИВА в зону прямого просмотра

  • откройте на контроллере домена Диспетчер DNS

  • перейдите в Зоны прямого просмотра | дерево

    • Создайте новый узел

      • введите имя и IP адрес сервера на котором установлена АРХИВА, например ar.contoso.com/10.0.1.107

      • отметьте Создать соответствующую PTR запись

      • нажмите Добавить узел

        win_server_dns_setup.png

Добавление учетной записи на чтение каталога LDAP на сервере AD

  • В оснастке Active Directory Users and Computers создайте учетную запись пользователя (например, с именем archiva-user). Данная учетная запись потребуется в дальнейшем для настройки авторизации.

    ad-archiva-user.png

Настройка авторизации АРХИВА

Основные настройки

  • Область по умолчанию (Default Realm) - это домен по умолчанию, который АРХИВА будет использовать при Kerberos-аутентификации. Это название домена (realm) должно быть указано в верхнем регистре (например, CONTOSO.COM).

  • Логин на чтение LDAP - это имя пользователя, которое будет использоваться для чтения LDAP каталога.

  • Пароль учетной записи службы - это пароль учетной записи, которая будет использоваться для чтения LDAP каталога.

  • Адрес сервера Active Directory - это FQDN адрес контроллера домена AD с указанием порта (по умолчанию 389) каталога LDAP.

Дополнительные настройки

  • Атрибут привязки - это имя аттрибута, которое будет использоваться для привязки пользователя к учетной записи. По умолчанию userPrincipalName.

  • Атрибут электронной почты - это имя аттрибута, которое будет использоваться для электронной почты пользователя. По умолчанию proxyAddresses.

  • Значение электронной почты - это значение аттрибута, которое будет использоваться для извлечения электронной почты пользователя. По умолчанию SMTP:(.*).

  • Основной атрибут электронной почты - это имя основного аттрибута электронной почты пользователя. По умолчанию mail.

  • Основное значение электронной почты - это значение аттрибута, которое будет использоваться для извлечения электронной почты пользователя. По умолчанию (.*).

  • Атрибут мобильного - это имя аттрибута, которое будет использоваться для извлечения мобильного пользователя. По умолчанию mobile.

  • Атрибут отображаемого имени - это имя аттрибута, которое будет использоваться для отображения имени пользователя в АРХИВА. По умолчанию displayName.

Пример настройки

ad_kerb_auth_full.png

Назначение ролей учетной записи

Для назначения роли АРХИВА для учетной записи AD необходимо:

  • нажать на Назначить новую роль

  • выбрать необходимую Роль

  • выбрать Атрибут LDAP который будет сопоставляться с атрибутом учетной записи AD выполняющей аутентификацию

  • назначить содержит значение атрибута LDAP, которое будет сопоставляться с атрибутом учетной записи AD выполняющей аутентификацию

Форма поиска атрибутов

Для наглядности выбора атрибута и значения можно вызвать форму поиска:

  • нажмите на кнопку Поиск в форме назначения ролей.

  • Далее введите почту учетной записи и нажмите Поск, произойдёт поиск и отображение атрибутов данной учетной записи.

  • Двойное нажатие на атрибут позволит выбрать его для назначения роли. Оно появится в форме назначения ролей.

ad_lookup_user.png

Проверка авторизации в АРХИВА

Для проверки авторизации в АРХИВА необходимо:

  • нажать на кнопку Проверить логин в форме назначения ролей.

  • Ввести почту учетной записи и нажать на кнопку Проверить новый логин.

  • Выводится сообщение о прохождении проверки с подтверждением о назначении роли.

    ad_check_login.png

Настройка единого входа в АРХИВА

создание keytab файла

пример

ktpass.exe -princ HTTP/ar.contoso.com@CONTOSO.COM -mapuser archiva_user@CONTOSO.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

адаптировать инструкцию https://support.kaspersky.com/KSMG/2.0/ru-RU/206092.htm

настройка браузера на единый вход https://docs.vmware.com/ru/VMware-Workspace-ONE-Access/23.09/ws1_access_authentication_cloud/GUID-BA180002-2B41-46B8-9838-AD43A665F2B0.html

https://learn.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/www-authentication-authorization/troubleshoot-kerberos-failures-ie

Active Directory, Kerberos, DNS взаимодействие, дополнительные сведения

По отдельности термины домен и область означают почти одно и то же, но для разных систем. Области и названия областей взяты из протокола аутентификации Kerberos, где они служат практически той же цели, что и домены и доменные имена. Строго говоря, они не имеют прямого отношения друг к другу, но на практике почти все области Kerberos названы в честь соответствующего DNS-домена.

В Active Directory домены AD представляют собой интегрированную систему DNS, LDAP, Kerberos и различных других компонентов. Домен AD использует сервис DNS для поиска сервера, а доменное имя DNS действует как пространство имен для учетных записей пользователей. Как правило, контроллер домена AD также выступает в качестве DNS-сервера для соответствующего DNS-домена.

Например, учетные записи пользователей имеют такие UPN, как i.ivanov@ad.contoso.com, которые состоят из простого имени пользователя с добавлением доменного имени DNS без учета регистра (или из нескольких пользовательских "UPN-суффиксов" на выбор). Таким же образом формируются SPN-адреса служб.

Но внутренне эти имена преобразуются в эквивалентное "основное имя Kerberos", которое имеет аналогичный формат и выглядит следующим образом i.ivanov@AD.EXAMPLE.COM. Имя области Kerberos всегда учитывает регистр и, по соглашению, всегда пишется в верхнем регистре. Каждый домен Active Directory действует как область Kerberos и имеет только одно имя области (даже если настроено несколько суффиксов UPN). Каждый контроллер домена AD также действует как KDC Kerberos для соответствующей области Kerberos.

Итак, какова связь между доменами AD, доменами DNS и областями Kerberos?

Каждому домену AD автоматически присваивается область Kerberos, а каждому аккаунту AD - участник Kerberos. Таким образом, область Kerberos является подмножеством домена AD. (Однако Kerberos также можно использовать автономно без AD) Каждый домен AD основан на домене DNS, но ни один из них не является подмножеством другого (DNS, конечно, может существовать и вне AD). Kerberos использует DNS (но не требует этого). Области Kerberos обычно именуются в соответствии с доменами DNS, но в остальном ни одна из них не является подмножеством другой. Клиенты Kerberos могут дополнительно использовать записи DNS SRV для обнаружения KDC (если имя области основано на DNS).

07 October 2024
LDAPСоздание keytab-файла