Создаем keytab-файл для Kerberos аутентификации в Active Directory

Мы можем сделать то же самое в Java, написав собственную программу для поиска LDAP, а затем связывание LDAP, но, как я сказал, это намного проще и чище, когда вы используете Spring Security для аутентификации LDAP.

Основы аутентификации LDAP

Прежде чем углубляться в аутентификацию LDAP в Active Directory, давайте познакомимся с некоторыми терминами LDAP, потому что большую часть времени пользователи делают это в первый раз, и они не очень знакомы с типичными глоссариями LDAP, такими как Dn, Ou, Bind или search и т. Д. Dn — Отличительное имя , уникальное имя, которое используется для поиска пользователя на сервере LDAP, например, Microsoft Active Directory. Ou — организационная единица Привязка — LDAP Привязка — это операция, при которой клиенты LDAP отправляют bindRequest пользователю LDAP, включая имя пользователя и пароль, и, если сервер LDAP может найти правильные имя пользователя и пароль, он разрешает доступ к серверу LDAP. Поиск — поиск LDAP — это операция, которая выполняется для получения Dn пользователя с использованием некоторых учетных данных пользователя. Root — верхний элемент каталога LDAP, такой как Root of a tree. BaseDn — ветвь в дереве LDAP, которая может использоваться в качестве базы для операции поиска LDAP, например, dc = Microsoft, dc = org ”

Если вы хотите узнать больше о LDAP, проверьте эту ссылку, там есть подробная информация о LDAP.

Настройка Exchange.

На сервере Exchange использует виртуальный каталог с именем “owa” и Центр администрирования Exchange использует виртуальный каталог с именем “ecp”.

Настройка Exchange.
Настройка Exchange.

Экспорт сертификата подписи маркера с сервера ADFS.

Настройка Exchange.
Настройка Exchange.
  • На сервере ADFS откройте “Управление ADFS”, разверните узел “Служба” и откройте “Сертификаты”.
  • Нажмите правой кнопкой мыши на сертификат в графе “Для подписи маркера” и нажмите “Просмотр сертификата”.
  • В окне “Сертификат” на вкладке “Состав” нажмите “Копировать в файл”.
  • В окне “Мастер экспорта сертификатов” нажмите “Далее”.
  • На странице “Формат экспортируемого файла” выберите “Файлы (.CER) в кодировке DER” и нажмите “Далее”.
  • На странице “Имя экспортируемого файла” укажите путь и имя для сохранения сертификата и нажмите “Далее”.
  • На странице “Завершение мастера экспорта сертификатов” проверьте параметры экспорта и нажмите “Готово”.
Настройка Exchange.
Настройка Exchange.

Настройка Windows

Необходимо, что бы компьютер с ОС Windows разрешал имя сервера IPA с помощью DNS, поэтому убедитесь, что он имеет соответствующую конфигурацию DNS. В примере IPA-сервер управляет DNS зонами, по этому  Windows-машина использует IPA в качестве DNS сервера.

Настройка Windows

На компьютере Windows откройте командную строку от имени администратора и выполните приведенные ниже команды. Обратите внимание, что Realm должен быть указан заглавными буквами. В примере REALM – , KDC — IPA-сервер

Читайте также:  3 способа как отключить экран блокировки на Windows 10

ksetup /setdomain [REALM] ksetup /addkdc [REALM] [KDC] ksetup /addkpasswd [REALM] [KDC] ksetup /setcomputerpassword [ПАРОЛЬ] ksetup /mapuser * *

Настройка Windows

Обратите внимание, что вышеприведенный пароль является паролем, который был установлен ранее в веб-интерфейсе IPA. Команда mapuser отразит все учетные записи в области Kerberos в любую существующую учетную запись с таким же именем на этом компьютере под управлением Windows.

В разделе «Параметры конфигурации компьютера» выберите «Конфигурация Windows»> «Параметры безопасности»> «Локальные политики»> «Параметры безопасности»> «Сетевая безопасность настройка типов шифрования, разрешенных Kerberos. В этом случае мы выберем все, кроме первых двух параметров DES. Выберите «Применить» или «ОК», чтобы сохранить изменения. Перезагрузите компьютер Windows, чтобы применить изменения ksetup.

Настройка Windows

Создайте локальную учетную запись пользователя с именем пользователя IPA. Пароль задавать не нужно..

Вы можете создать локальную учетную запись пользователя, нажав клавишу Windows + R, чтобы открыть окно «Выполнить», и введите «mmc», затем нажмите «ОК».

Настройка Windows

В открывшемся MMC, выберите «Файл»> «Добавить или удалить оснастку». В следующем окне выберите «Локальные пользователи и группы», затем нажмите кнопку «Добавить», затем «Готово», затем «ОК». Отсюда вы можете создавать свои локальные учетные записи пользователей в Windows. Помните, что не нужно добавлять пароли. Имя пользователя также должно совпадать с именем пользователя, которое существует в IPA.

Настройка удаленного рабочего стола

Настройка Windows

По умолчанию новая учетная запись пользователя не сможет подключаться по удаленному рабочему столу. Находясь в оснастке «Локальные пользователи и группы» добавьте созданного пользователя в группу «пользователи удаленного рабочего стола»

Вот и все, теперь вы можете войти в Windows с этой учетной записью. Вам нужно будет указать имя пользователя @REALM для входа в систему, поэтому, если вы будете следовать этому примеру, используйте [email protected]

Настройка Windows

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.

Читайте также:  Hyper-V: технология виртуализации для Windows Server 2008

Настройка аутентификации через Active Directory

Открываем настройки / Аутентификация

Настройки аутентификация

Выбираем LDAP каталоги

Настройка подключения к домену

Вводим имя, выбираем сервер по умолчанию, выбираем активен. Вводим IP адрес сервера и порт (если меняли дефолтный).

Фильтр соединений копируем строчку ниже

(&(objectClass=user)(objectCategory=person)(!(userAccountControl::=2)))

База поиска (baseDN) ставим следующие

dc=yourdomain,dc=ru

rootDN — пользователь для подключения, через которого и будет синхронизироваться AD.

cn=Administrator,cn=Users,dc=yourdomain,dc=ru

Ниже пароль от него. Затем указываем что будет в системе GLPI являться логином для пользователя. в нашем случае это samaccountname (название учётной записи пользователя). Теперь нажимаем добавить.

Теперь давайте перейдём в Администрирование / Пользователи и дальше Связи с LDAP

Связи с LDAP

Выбираем импорт новых пользователей потом Поиск, отмечаем чекбоксы нужных пользователей и выбираем Действие / Импорт / Отправить

Импорт пользователейДолжно появиться уведомление об успешном импорте

Поздравляю! Вы успешно установили GLPI и настроили синхронизацию пользователей Active Directory!