...
| Info |
|---|
| Если вы переходите с более ранней версии Архива, вы должны знать, что механизм авторизации был изменен с Kerberos на NTLM v2 авторизацию. |
Для NTLM v2 авторизации необходимо, чтобы сервисный учетная запись была учетной записью компьютера, а не обычного пользователя. Поэтому, для установки/обновления, вам необходимо создать учетную запись типа компьютер в AD, установить пароль этой учетной запись с помощью предоставляемых скриптов, и измените учетную запись в Архива на service$@business.local. Знак $ в UPN обозначает, что это учетная запись типа компьютер (в противовес учетной записи типа пользователь в AD)
| FieldПоле | DescriptionОписание | ExampleПример | |
| DNS Сервер IP Addressадрес | IP address of your вашего сервера DNS server | 192.168.0.1 | |
| Active Directory AdddressThe fully qualified domain name of Сервер Адреса | Полное доменное имя сервера Active Directory | active.business.local | |
| Base Bind DN | The distinguished name of the location in AD where Архива should startОтличительное имя расположения в AD, где Архива должны начать поиск | dc=company,dc=com | |
| Service Account Login | The FQDN of the service computer in ADЛогин на чтение LDAP | Полное доменное имя (FQDN) сервисной учетной запись компьютера вAD. | service$@business.local |
| Service Account Password | The service computer passwordПароль | Пароль сервисной учетной запись компьютера | |
| Mail Attribute | The mail attribute where the user’s email addresses are obtained | ProxyAddresses | |
| Email Value | The regular expression used to extract the email value from the mail attributeEmail Attribute | Атрибут где содержится данные о почтовом адресе пользователя | ProxyAddresses |
| Значение сообщения | Регулярное выражение с помощью которого извлекается почтовый адрес пользователя из Email Attribute. | SMTP:(*.) | |
| Bind AttributeThe | attribute used to search for the user using login username in AD’s LDAP. Leave this as is, unless you want users to be able to login using email address, or some other attributeДанный атрибут используется для поиска логина пользователя в AD LDAP. Оставьте данный атрибут без изменений, для использования адреса электронной почты в логине, или используйте любой другой нужный вам атрибут. | SAMAccountName | |
| NTLM AuthenticationWhen NTLM authentication is enabled,Архива will perform single-sign-on authentication with the users sessionSSO (единый пароль на вход) авторизация | Когда NTLM авотризация включена, Архива использует единый вход (SSO) сессии пользователя. | Disabled |
In order to authenticate with В целях авторизации в Active Directory, Архива requires that a new computer account is created in Active Directory and that a password to the account is set. While it is possible to create a new Computer using Active Directory Users And Computers, there is currently no way from the GUI to set passwords on Computer accounts. For this purpose, a VBS script called ADSetupWizard.vbs is included with the server distributable. The script, when executed with Domain Administrator privileges, will automatically create a Computer in Active Directory and set a pasword on the Computer account. It will also output the AD configuration settings that are appropriate for your setup.
The procedure for configuring Active Directory authentication is as follows:
...
...
Note: If the ADSetupWizard.vbs script generates the error “AccessDenied 80070005”, it may be necessary to temporarily disable Windows UAC on the machine where the script is executed.
...
требует, чтобы новая учетная запись компьютера была создана в Active Directory и пароль для учетной записи установлен. Хоть и возможно создать новый компьютер в Active Directory Users And Computers с помощью графического интерфейса, но к сожалению задать пароль данной учетной записи с помощью графического интерфейса невозможно. Для этого выполните скрипт VBS который называется ADSetupWizard.vbs входит в состав установочного пакета Архива. Сценарий необходимо выполнять с правами администратора домена, он автоматически создаст учетную запись компьютера в Active Directory и установить пароль на данную учетную запись. В завершении данный скрипт выведет все параметры конфигурации, которые вы сможете использовать в настройке Архива.
Процедура настройки авторизации Active Directory осуществляется следующим образом:
- Залогинтесь на сервер контроллера домена
- Запустите скрипт ADSetupWizard.vbs
- Следуйте помощнику установки для создания сервисной учетной записи компьютера и установки пароля для этой учетной записи в AD
- После завершения работы скрипта, скопируйте данные которые он выведет
- Зайдите в консоль Архива - Настройка - Авторизация
- Выберите авторизацию Active Directory и введите необходимые значения (пользователь и пароль может быть скопирован из результатов работы скрипта)
- Нажмите "Назначить новую роль" и создайте связь между ролью в Архива и атрибутом в Active Directory
| Info |
|---|
Если при выполнении скрипта ADSetupWizard.vbs появилась ошибка “AccessDenied 80070005”, необходимо временно выключить Windows UAC на компьютере где выполняется данный скрипт. |
| Info |
|---|
| Если возникают проблемы при выполнении срипта ADSetupWizard.vbs, как альтернативное решение вы можете вручную создать новый компьютер средствами Active Directory Users and Computers. После этого, запустить скрипт SetComputerPassword.vbs для установки пароля на данную учетную запись. |
Note: Microsoft requires that the user assigned the impersonation rights should not also have administrator rights assigned.
When assigning roles to Active Directory users, it is necessary to select a role, select an LDAP attribute and enter a match criterion.
| Field | Description |
| Role | Role to be assigned |
| LDAP Attribute | LDAP attribute to use for the role assignment |
Match Criterion | A value that is compared against a corresponding LDAP attribute in Active Directory for an authenticating use |
...