- Технологический стек
- Установка и настройка MULTIDIRECTORY
- Настройка Kerberos в WEB-интерфейсе MULTIDIRECTORY
- Настройка DNS в WEB-интерфейсе MULTIDIRECTORY
- Настройка доверия в MULTIDIRECTORY
- Групповые политики
- Подключение MULTIFACTOR SelfService Portal к MULTIDIRECTORY
- Управление пользователями, группами и ресурсами
- Подключение к MULTIFACTOR
- Политики доступа
- Схема LDAP
- Журналирование событий
- Парольные политики
- Роли и полномочия
- LDAP-аутентификация в Пассворк
- LDAP-аутентификация в Ansible AWX
- LDAP-аутентификация в ArgoCD
- LDAP-аутентификация в Authelia
- LDAP-аутентификация в BearPass
- LDAP-аутентификация в DeepMail
- LDAP-аутентификация в ELMA365
- LDAP-аутентификация в FreePBX
- LDAP-аутентификация в GitLab
- LDAP-аутентификация в Grafana
- LDAP-аутентификация в IVA MCU
- LDAP-аутентификация в Jenkins
- LDAP-аутентификация в Jira
- LDAP-аутентификация в Keycloak
- LDAP-аутентификация в Kerio Connect
- LDAP-аутентификация в Kibana
- LDAP-аутентификация в Harbor
- LDAP-аутентификация в S3 MinIO
- LDAP-аутентификация в Nexus
- LDAP-аутентификация на Nextсloud
- LDAP-аутентификация на OpenVPN
- LDAP-аутентификация на ownCloud
- LDAP-аутентификация в PostgreSQL
- LDAP-аутентификация в Rancher
- LDAP-аутентификация в RuPost
- LDAP-аутентификация в Seafile
- LDAP-аутентификация в Snipe-IT
- LDAP-аутентификация на SSH клиенте
- LDAP-аутентификация в TrueConf
- LDAP-аутентификация на UserGate клиенте
- LDAP-аутентификация в Vault
- LDAP-аутентификация в Zabbix
- LDAP-аутентификация в Zimbra
Настройка доверия в MULTIDIRECTORY
Общая информация
Внутренний интерфейс MULTIDIRECTORY позволяет выстраивать двунаправленные доверительные отношения между доменами и позволяет выстроить однонаправленное проксирование LDAP запросов.
MULTIDIRECTORY обеспечивает поддержку двунаправленного доверия «Realm» и однонаправленного доверия «LDAP-Forward».
Для бесперебойного взаимодействия между доменами, гарантирующего корректную аутентификацию и авторизацию, критически важна корректная конфигурация DNS. В MULTIDIRECTORY (MD) интегрирован функционал DNS Forwarding. Эта возможность облегчает разрешение имен: устройства в пределах одного домена могут находить и взаимодействовать с сетевыми ресурсами, размещенными в другом домене. Это имеет первостепенное значение для Kerberos-аутентификации и запросов LDAP.
Настройка доверия доменов
Для перехода в меню настройки доверия доменов выберите шестерёнку в правом верхнем углу. Выберите пункт «Настройки MULTIDIRECTORY».
Выберите «Домены и доверие».
Для создания нового доверия доменов, нажмите кнопку «Добавить».
В появившемся окне внесите данные: Название траста – любое подходящее название. Хост – доменное имя целевой “машины” с кем будет доверие.
Обратите внимание
В процессе заполнения поля «Хост» при последующей настройке и установке доверия для доменов, изменение этого параметра будет недоступно. Единственные параметры, которые можно будет изменить, — это порт и протокол соединения.
В следующем открывшемся окне, введите: Пароль – общий пароль для кросс-доменного принципала.
Примечание
Кросс-доменный принципал — это учетная запись Kerberos, признаваемая и доверяемая несколькими доменами благодаря установленным между ними trust-отношениям; используется для безопасной сквозной аутентификации пользователей и сервисов из разных реалмов/доменов в LDAP-инфраструктуре.
Настройка LDAP Forward
В данном окне, задайте следующие параметры:
Simple:
Логин и пароль — учетные данные сервисной учетной записи с правами на чтение каталогов, от целевого контроллера домена, с которым строится связь. Протокол – LDAP/LDAPS Домен – домен целевой машины. Порт — LDAP 389 / LDAPS 636
Примечание
MULTIDIRECTORYперенаправляет приходящие LDAP-запросы к доверенному домену.
GSSAPI:
Логин (SPN): логин сервисной учетной записи Kerberos. Загрузка файла keytab – данный файл можно получить с целевого контроллера домена.
Настройка референсов
Примечание
Референс (reference) или LDAP referral — это указание (ссылка) на другой LDAP-сервер или другую часть иерархии каталога, где может находиться запрашиваемая информация.
На начальной вкладке, будет созданное доверие, между (PATH) MULTIDIRECTORY и целевой (SOURCE) машиной MULTIDIRECTORY.
При нажатии добавить референс всплывает следующее окно:
Путь – выбор каталога, откуда будет начинаться поиск нужных нам данных. Источник – в данном случае, можно указать, вторую целевую машину с MULTIDIRECTORY.
