Скачать PDF

Интеграция с Active Directory/Samba DC

В Ideco NGFW возможна односторонняя синхронизация с контроллером домена на базе Microsoft Active Directory (AD) и Samba DC.

Видеоинструкцию смотрите по ссылкам:

Интеграция с Microsoft Active Directory/Samba DC

Название службы раздела Active Directory/Samba DC: ideco-ad-backend; ideco-ad-log-collector@<имя домена>. Список служб для других разделов доступен по ссылке.

При интеграции импортируются учетные записи и номера телефонов пользователей, исключая пароли. При аутентификации пользователей проверка осуществляется средствами Active Directory или Samba DC соответственно.

Поддерживаемые контроллеры домена:

  • Windows Server 2008 (только R2), 2012, 2016, 2019, 2022;

  • Samba DC с версии 4.0.

Особенности интеграции с несколькими контроллерами домена

  • Из дерева контроллеров домена в Ideco NGFW импортируются данные только того контроллера, для которого был запущен импорт пользователей;

  • При импорте пользователей из разных доменов необходимо убедиться, что учетные записи не имеют одинаковых логинов. В противном случае система выдаст сообщение об ошибке;

  • При SSO-авторизации и первом открытии браузера пользователю будет предложен выбор домена для аутентификации. Выбор сохраняется с помощью cookie и используется при следующей авторизации. Если требуется изменить домен, очистите cookie (для локального IP-адреса Ideco NGFW).

Ввод сервера в домен

Перед вводом в домен убедитесь, что время на контроллере домена и Ideco NGFW совпадает.

Хотябы один контроллер домена должен находиться в локальной сети Ideco NGFW или быть доступен через локальный интерфейс с помощью настроенной маршрутизации.

Для ввода сервера в домен выполните действия:

1. Перейдите на вкладку Пользователи -> Active Directory/Samba DC.

2. Нажмите Добавить и заполните поля:

  • Домен - полное наименование домена, длина которого не должна превышать 64 символа. Например: mydomain.example;

  • DNS-сервер AD - адрес сервера, обладающий ролью DNS-сервера в контроллере домена, доступный с локального интерфейса Ideco NGFW;

  • Название сервера Ideco NGFW - имя компьютера, под которым Ideco NGFW будет введен в домен (не более 15 символов);

  • Учетная запись с правом присоединения к домену - учетная запись AD с правами присоединения к домену (право Создание объектов: Компьютер). Данные учетной записи с правом присоединения к домену не сохраняются на сервере и используются один раз при вводе в домен:

  • LDAP-пути - LDAP-пути для импорта пользователей и групп из выбранной организационной единицы (OU). Указание LDAP-путей позволяет импортировать только нужные группы пользователей, чтобы избежать импорта всего дерева пользователей AD;

  • KDC-сервер - заполняется только при недоступности KDC-серверов для Ideco NGFW.

3. Нажмите Присоединить к домену. Процесс присоединения к домену может занять до одной минуты.

Если в таблице большое количество интеграций, воспользуйтесь кнопкой Фильтры.

При выводе Ideco NGFW из домена удаляются все пользователи и группы, импортированные из него.

Настройка DNS для разрешения имен локального домена

В Ideco NGFW Forward-зона DNS создается автоматически при вводе сервера в домен:

При такой настройке компьютеры могут использовать Ideco NGFW в качестве основного DNS-сервера. При этом разрешение локальных и интернет-имен будет работать корректно для всех сервисов.

Импорт пользователейАутентификация пользователей AD/Samba DC
PreviousПрофили устройствNextИмпорт пользователей

Last updated

Was this helpful?