Сравнение версий

Old Version 4

changes.mady.by.user Valentin Popov

Сохранено

по сравнению с

New Version 5

changes.mady.by.user Valentin Popov

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Formatting was changed.

...

 

Info
Если вы переходите с более ранней версии Архива, вы должны знать, что механизм авторизации был изменен с Kerberos на NTLM v2 авторизацию.

 

Для NTLM v2 авторизации необходимо, чтобы сервисный учетная запись была учетной записью компьютера, а не обычного пользователя. Поэтому, для установки/обновления, вам необходимо создать учетную запись типа компьютер в AD, установить пароль этой учетной запись с помощью предоставляемых скриптов, и измените учетную запись в Архива на service$@business.local. Знак $ в UPN обозначает, что это учетная запись типа компьютер (в противовес учетной записи типа пользователь в AD)

 
ПолеОписаниеПример
DNS Сервер IP адресIP вашего сервера DNS192.168.0.1
Active Directory Сервер АдресаПолное доменное имя сервера Active Directoryactive.business.local
Bind DNОтличительное имя расположения в AD, где Архива должны начать поискdc=company,dc=com
Логин на чтение LDAPПолное доменное имя (FQDN) сервисной учетной запись компьютера вAD.service$@business.local
ПарольПароль сервисной учетной запись компьютера  
Email AttributeАтрибут где содержится данные о почтовом адресе пользователяProxyAddresses
Значение сообщенияРегулярное выражение с помощью которого извлекается почтовый адрес пользователя из Email Attribute.SMTP:(*.)
Bind AttributeДанный атрибут используется для поиска логина пользователя в AD LDAP. Оставьте данный атрибут без изменений, для использования адреса электронной почты в логине, или используйте любой другой нужный вам атрибут.SAMAccountName
NTLM SSO (единый пароль на вход) авторизацияКогда NTLM авотризация включена, Архива использует единый вход (SSO) сессии пользователя.Disabled

...

Info
Если возникают проблемы при выполнении срипта ADSetupWizard.vbs, как альтернативное решение вы можете вручную создать новый компьютер средствами Active Directory Users and Computers. После этого, запустить скрипт SetComputerPassword.vbs для установки пароля на данную учетную запись.

Note: Microsoft requires that the user assigned the impersonation rights should not also have administrator rights assigned.
When assigning roles to Active Directory users, it is necessary to select a role, select an LDAP attribute and enter a match criterion.

 

...

 

...

Info
Microsoft требует, чтобы пользователю которому назначены права имперсонализации не имел одновременно назначенных прав администратора.


При назначении ролей пользователей Active Directory, необходимо выбрать роль, выбрать атрибут LDAP и задать критерий соответствия.

ПолеОписание
РольРоль которую требуется назначить
Атрибуты LDAPАтрибут LDAP используемый для назначении роли
СодержитЗначение которое сравнивается с атрибутом LDAP в AD для авторизации

 

Для заполнения "Атрибуты LDAP" и "Содержит" будет полезно узнать как назначаются роли пользователям при авторизации в Архива. Пользователь в Active Directory имеет множество LDAP атрибутов ассоциированных с ним. Эти атрибуты как свойства пользователя (имя пользователя, группа, email и т.д.). Во время авторизации, после того как пользователь был идентифицирован, значение из "Атрибуты LDAP" извлекается из AD, данное значение сравнивается со значением в "Содержит". Если значения совпадают, то назначается роль и пользователь авторизуется в Архива.

Для назначения роли Windows пользователю, выберите “SAMAccountName” как "Атрибуты LDAP"  и введите имя пользователя в поле "Содержит". Для назначения роли группе пользователей, выберите “memberOf” в "Атрибуты LDAP" и введите в "Содержит" назначаемое имя группы в Active Directory (например “CN=Enterprise Admins, CN=Users, DC=company, DC=com”).Note: The match criterion field also accepts regular expressions for complex pattern matching requirements

 

 

Info
Поле "Содержит" так-же понимает регулярные выражения для сложных требований к шаблону совпадения.

 

Image Added

 

LDAP Attributeатрибут Match Criterion Value Содержит
memberOfгруппа в Active Directory user group
CN=Enterprise Admins,CN=Users,DC=company,DC=com
userPrincipalName jdoe@company.com
SAMaccountName Jdoe
distinguishedNameCN=John Doe,CN=Users,DC=company,DC=com

 

In specifying the match criterion field, it is useful to lookup the LDAP attribute name andvalues associated with a user. This is done by clicking the Lookup button and entering auser's username (e.g. admin@company.com) and a password. A simple way to assign a role to an individual user is to copy one of the values of any of the attributes described above and paste them into the match criterion field.

 
AD Lookup & Attribute Lookup: Th AD Lookup dialog will not work with Internet Explorer Enhanced Security Configuration mode enabled. Either disable Internet Explorer Enhanced Security Configuration or alternativey use Chrome or Firefox browsers to perform the lookup. To disable Internet Explorer Enhanced Security Mode: In Windows Server 2003, uninstall the corresponding Windows Component in Add/Remove Programs. In Windows Server 2008, click on the root folder in Server Manager, scroll down to the Security Information Section and click “Configure IE ESC”. Switch off IE ESC for Administrators.

...

If you are unable to get AD authentication working in your environment, it is possible to authenticate with AD using password-based LDAP authentication instead. To do this, select LDAP authentication, enter the mail attribute to be “proxyAddresses” and “SAMAccountName” to be the bind attribute. You will also need to clear out the default login name suffix in the Logins section. Refer to LDAP Authentication for more information.  

...

Во время заполнения поля "Содержит", полезно посмотреть имена LDAP атрибутов и их значения для пользователя. Для этого нажмите "поиск" и в диалоговом окне введите логин и пароль пользователя, атрибуты и значения которого вы хотите посмотреть (например admin@company.com и пароль). Для простого назначения роли конкретному пользователю, просто выберите атрибут и значение из окна поиска, они будут автоматически скопированы в "Атрибут LDAP" и "содержит".

 

Note

Диалог поиска атрибутов не будет работать если режим Internet Explorer Enhanced Security Configuration включен. Выключите Internet Explorer Enhanced Security Configuration или используйте брайзеры Chrome, Firefox для этих целей. Чтобы отключить Internet Explorer Enhanced Security Configuration Mode: В Windows Server 2003, удалите соответствующий компонент Windows в Add / Remove Programs. В Windows Server 2008, нажмите на корневую папку в Server Manager, перейдите к разделу информационной безопасности и нажмите кнопку "Configure IE ESC". Выключить IE ESC для администраторов.

Если поиск возвращает пустой результат, наверняка есть ошибка в конфигурации. После того, как все роли назначены выполните "тестовый логин" для проверки настроек. Если возникли проблемы, пожалуйста обратитесь к решению проблем авторизации

Если вы не смогли настроить AD авторизацию в вашем окружении, возможно настроить авторизацию используя авторизацию LDAP основанную на паролях. Для этого выберите LDAP авторизацию, введите "proxyAddresses" в поле "Email Attribute" и "SAMAccountName" в "Bind Attribute". Так-же вам потребуется изменить имя логина. Обратитесь в раздел LDAP авторизация

Info

Мультидоменная авторизация: Если ваша организация имеет множество доменов, настройте Архива на подключение к глобальному серверу каталогов на порт 3268. Для этого, измените FQDN имя вашего сервера Active Directory эквивалентно company.com:3268. Удалите все значения в поле "Bind DN".