Перейти к содержанию

Настройка подключений через AD/Kerberos

После того, как системный администратор добавил необходимых пользователей в активную директорию (AD), вы можете настроить подключение по Kerberos в системе TeamStorm.

Создание Keytab-файла

Примечание

Keytab-файл создается на сервере контроллера домена под учетной записью с правами доменного администратора.

  1. В оснастке Active Directory Users and Computers создайте учетную запись сервисного пользователя.
  2. Отметьте опции User cannot change password и Password never expires (Запретить смену пароля пользователем и Срок действия пароля не ограничен).
  3. Cгенерируйте на контроллере домена Keytab-файл с помощью утилиты ktpass командой вида:
    ktpass -princ <ServiceClass>/<ServiceName>@<DomainName> -mapuser <ServiceAccount> -pass <ServiceAccountPassword> -crypto All -ptype KRB5_NT_PRINCIPAL -out <TargetPath>\<KeytabFilename>

Где:

  • <ServiceClass>/<ServiceName> — созданный ранее SPN;
  • <DomainName> — имя домена Active Directory;
  • <ServiceAccount> — имя ранее созданной сервисной учетной записи;
  • <ServiceAccountPassword> — пароль сервисной учетной записи;
  • <TargetPath>\<KeytabFilename>— путь и имя генерируемого keytab-файла.

Например:

    ktpass.exe -princ HTTP/application_url@YOURDOMAIN -mapuser KDCAdmin@YOURDOMAIN -crypto ALL -ptype KRB5_NT_PRINCIPAL -pass * -out C:\example.keytab

Подробнее использование утилиты ktpass описано в официальной документации.

Настройка соединения

  1. Используя учетную запись с правами администратора войдите в систему и нажмите Администрирование в верхней части экрана.
  2. На панели слева нажмите Интеграции, перейдите на вкладку AD/Kerberos, затем нажмите Добавить. Откроется панель добавления соединения в правой части экрана.
  3. Заполните все обязательные поля.
  4. Загрузите ранее созданный Keytab-файл

На вкладке AD/Kerberos доступно редактирование соединения Active Directory и кнопка для принудительной синхронизации. Чтение и синхронизация происходят каждые 10 минут.

В настройках AD/LDAP можно указывать схему пользователей и групп для поддержки большинства служб.

Редактирование соединения

  1. Перейдите в панель администрирования и выберите раздел Интеграции на панели слева.
  2. Откройте вкладку AD/Kerberos.
  3. Нажмите на название нужного соединения.
  4. Внесите необходимые изменения на открывшейся справа панели.
  5. Нажмите Сохранить.

Настройка пользовательской схемы

Откройте нужное соединение и заполните поля в блоке User Schema.

Пример фильтра для пользователей из одной группы:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf=CN=Group-Sonya,OU=Sonya-test,OU=podrazdelenie2,OU=Podrazdelenie1,DC=mtest,DC=ru))

Пример фильтра, который добавляет пользователей из вложенных групп:

(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=CN=Group-Sonya,OU=Sonya-test,OU=podrazdelenie2,OU=Podrazdelenie1,DC=meistertest,DC=ru))

Настройка групповой схемы

Откройте нужное соединение и заполните поля в блоке GroupSchema.

Фильтр для одной группы (имя начинается с ...) :

(&(objectCategory=group)(name=Group-Sonya*))