- Технологический стек
- Архитектура решения
- Установка и настройка MULTIDIRECTORY
- Ввод ОС в домен
- Настройка Kerberos
- Настройка DNS
- Настройка DHCP
- Доверие доменов
- Групповые политики
- Подключение MF SelfService Portal к MD
- Управление пользователями, группами и ресурсами
- Подключение 2FA MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в GitFlic
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в Nexus
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Proxmox VE
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в SpaceVM
- LDAP-аутентификация в Tantor
- LDAP-аутентификация в zVirt
- LDAP-аутентификация в Штурвал
Настройка доверия в MULTIDIRECTORY
Общая информация
Внутренний интерфейс MULTIDIRECTORY позволяет выстраивать двунаправленные доверительные отношения между доменами и позволяет выстроить однонаправленное проксирование LDAP запросов.
MULTIDIRECTORY обеспечивает поддержку двунаправленного доверия «Realm» и однонаправленного доверия «LDAP-Forward».
Для бесперебойного взаимодействия между доменами, гарантирующего корректную аутентификацию и авторизацию, критически важна корректная конфигурация DNS. В MULTIDIRECTORY (MD) интегрирован функционал DNS Forwarding. Эта возможность облегчает разрешение имен: устройства в пределах одного домена могут находить и взаимодействовать с сетевыми ресурсами, размещенными в другом домене. Это имеет первостепенное значение для Kerberos-аутентификации и запросов LDAP.
Настройка доверия доменов
Для перехода в меню настройки доверия доменов выберите шестерёнку в правом верхнем углу. Выберите пункт «Настройки MULTIDIRECTORY».
Выберите «Домены и доверие».
Для создания нового доверия доменов, нажмите кнопку «Добавить».
В появившемся окне внесите данные:
Название траста – любое подходящее название.
Хост – доменное имя целевой “машины” с кем будет доверие.
Обратите внимание
В процессе заполнения поля «Хост» при последующей настройке и установке доверия для доменов, изменение этого параметра будет недоступно. Единственные параметры, которые можно будет изменить, — это порт и протокол соединения.
В следующем открывшемся окне, введите:
Пароль – общий пароль для кросс-доменного принципала.
Примечание
Кросс-доменный принципал — это учетная запись Kerberos, признаваемая и доверяемая несколькими доменами благодаря установленным между ними trust-отношениям; используется для безопасной сквозной аутентификации пользователей и сервисов из разных реалмов/доменов в LDAP-инфраструктуре.
Настройка LDAP Forward
В данном окне, задайте следующие параметры:
Simple:
Логин и пароль — учетные данные сервисной учетной записи с правами на чтение каталогов, от целевого контроллера домена, с которым строится связь.
Протокол – LDAP/LDAPS
Домен – домен целевой машины.
Порт — LDAP 389 / LDAPS 636
Примечание
MULTIDIRECTORYперенаправляет приходящие LDAP-запросы к доверенному домену.
GSSAPI:
Логин (SPN): логин сервисной учетной записи Kerberos.
Загрузка файла keytab – данный файл можно получить с целевого контроллера домена.
Настройка референсов
Примечание
Референс (reference) или LDAP referral — это указание (ссылка) на другой LDAP-сервер или другую часть иерархии каталога, где может находиться запрашиваемая информация.
На начальной вкладке, будет созданное доверие, между (PATH) MULTIDIRECTORY и целевой (SOURCE) машиной MULTIDIRECTORY.
При нажатии добавить референс всплывает следующее окно:
Путь – выбор каталога, откуда будет начинаться поиск нужных нам данных.
Источник – в данном случае, можно указать, вторую целевую машину с MULTIDIRECTORY.
