Домены

Домены — это страница для добавления домена и его параметров для дальнейшей синхронизации

Подсказка

Интеграция с LDAP доступна при использовании локального сервера Удаленный доступ или Управление конфигурациями (UEM)

Примечание

Интеграция позволяет:

  • Производить технологию единого входа (SSO)

  • Производить формирование динамических групп на основе LDAP групп

  • Распределять устройства и пользователей на основании LDAP групп

Описание страницы

На странице «Домены» отображено:

  1. Кнопка Добавить Домен

  2. Поиск

  3. Массовые действия

  4. Таблица с возможностью настройки отображаемых столбцов

1. Добавление домена

При нажатии на кнопку Добавить Домен откроется страница добавления домена со следующими вкладками:

  1. Основная информация

    1. Поле Включить — активация связи с доменом, при выключенной настройке синхронизация не выполнится

    2. Поле Тип AD — выбор типа службы каталогов: Active Directory, FreeIPA или OpenLDAP

    3. Поле Домен — уникальное имя домена

    4. Поле Адрес контроллера домена — IP-адрес или FQDN имя контроллера домена

    5. Поле Использовать TLS шифрование — необходимо активировать эту настройку и добавить сертификат домена, если на стороне домена включено TLS шифрование

      Важно

      При включении данной настройки необходимо будет загрузить файл сертификата домена

    6. Поле Имя пользователя с правами на чтение — имя доменного пользователя с правами на чтение

    7. Поле Пароль — пароль пользователя с правами на чтение

    8. Поле Пути для поиска — путь для поиска пользователей, групп и устройств для синхронизации

    9. Поле Группа по умолчанию для новых пользователей — группа по умолчанию для новых пользователей: доменные пользователи будут добавляться в выбранную группу при синхронизации если они не состоят в группе в AD

  2. Расширенные настройки

    1. Фильтр для поиска пользователей — фильтр для поиска пользователей в домене

      Подсказка

      • Для Active Directory: (sAMAccountType=805306368);

      • Для FreeIPA: (objectClass=person);

      • Для OpenLDAP: (objectClass=user);

    2. Фильтр для поиска групп — фильтр для поиска групп в домене

      Подсказка

      • Для Active Directory: (objectClass=group);

      • Для FreeIPA: (objectClass=ipausergroup);

      • Для OpenLDAP: (objectClass=groupOfNames);

  3. Логи синхронизации

    На данной вкладке будут отображены логи выполнения синхронизации с доменом

2. Поиск

Поле поиска — поиск по ключевому слову

Для выполнения поиска, необходимо заполнить поле и нажать на кнопку Найти

3. Массовые действия

Доступные действия:

  1. Удалить выбранные домены — удаляет выбранные домены из таблицы

  2. Экспортировать выбранные домены — позволяет экспортировать в файл выбранные домены

    Примечание

    После выбора данного действия, нужно выбрать необходимый формат файла

Важно

В зависимости от прав, действия могут отсутствовать

Для выполнения действия, необходимо нажать на кнопку Выполнить

3.1. Удаление доменов

Для массового удаления доменов, необходимо:

  1. Отметить необходимые домены в таблице

  2. Выбрать действие Удалить выбранные домены

  3. Нажать на кнопку Выполнить

  4. На открывшейся странице будет отображаться информация, какие домены будут удалены

  5. Нажать на кнопку Да, я уверен

    • Можно отменить данную операцию нажав на кнопку Нет, отменить и вернутся к выбору

  6. Выбранные домены будут удалены

3.2. Экспорт доменов

Для массового экспорта доменов, необходимо:

  1. Отметить необходимые домены в таблице

  2. Выбрать действие Экспортировать выбранные домены

  3. Выбрать необходимый формат файла

  4. Нажать на кнопку Выполнить

  5. Файл будет загружен на устройство

4. Таблица

Таблица разбита по столбцам:

  1. Домен — показывает уникальное имя домена

  2. Тип AD — показывает тип службы каталога: Active Directory, FreeIPA или OpenLDAP

  3. Адрес контролера домена — показывает IP-адрес или FQDN имя контроллера домена

  4. Имя пользователя с правами на чтение — отображение имени доменного пользователя, имеющего права на чтение

  5. Пути для поиска — отображение путей для поиска пользователей или устройств

  6. Включить — отображение активации подключения к домену

  7. Использовать TLS шифрование — отображение использования TLS-шифрования

Операции

При нажатии на кнопку с правого края таблицы, открывается контекстное меню

Доступные действия:

  1. Редактировать — при выборе этого пункта, откроются свойства домена

  2. Удалить — при выборе этого пункта, домен будет удален

  3. История изменений — при выборе этого пункта, будет отображена история домена: создание/редактирование и пользователь, который выполнил данные операции

  4. Синхронизировать — при выборе этого пункта, будет выполнена синхронизация с доменом

    Важно

    Синхронизацию с доменом выполнять необязательно, чтобы авторизация под доменным пользователем работала. Для этого достаточно добавить домен и сохранить

Свойства домена

Редактирование

При нажатии на кнопку Редактировать откроется страница свойств

Подробнее о вкладках и полях

Меню действий

Имеет следующие возможности:

  1. Сохранить — производит сохранение внесенных изменений и перенаправляет на страницу «Домены»

  2. Сохранить и продолжить — производит сохранение внесенных изменений и позволяет остаться на странице редактирования для выполнения дальнейших операций

  3. Удалить — производит удаление домена и перенаправляет на страницу «Домены»

    Примечание

    1. После нажатия на кнопку Удалить откроется страница подтверждения удаления домена

    2. После подтверждения удаления домена, произойдет переход на страницу «Домены» и появится уведомление Домен «НАЗВАНИЕ_ДОМЕНА» был успешно удален

  4. История изменений — отображает все изменения выполненные для этого домена

  5. Синхронизировать — производит синхронизацию с доменом

Пример

Active Directory

В качестве примера настройки SSO с LDAP будет использовано:

  • Active Directory

  • Windows Server 2012 R2

    1. Перейти на сервер Active Directory

    2. Открыть окно «Выполнить» нажав клавиши Win + R

    3. Ввести dsa.msc и нажать Enter

    4. Перейти в Users

    5. Создать группу и поместить в нее пользователей

    6. Открыть веб-интерфейс RuDesktop

    7. Перейти на страницу «Домены»

    8. Нажать на кнопку Добавить Домен

    9. Заполнить поля

      Важно

      • В поле Имя пользователя с правами на чтение возможно указать полный DN пользователя в формате CN=user2,CN=Users,DC=win2012,DC=local

      • Если в поле Имя пользователя с правами на чтение указали CN пользователя, то в Пути для поиска необходимо указать полный путь до его расположения

        • Например, в Имя пользователя с правами на чтение указали user2, то в Пути для поиска необходимо указать CN=Users,DC=win2012,DC=local

    10. Выполнить синхронизацию

    После синхронизации с контроллером домена, все найденные пользователи, группы и устройства добавятся на сервер RuDesktop

    После выполненных действий можно авторизовываться под доменным пользователем

Альт Домен

Для интеграции ALT домена необходимо:

  1. Сгенерировать корневую пару ключ-сертификат

    openssl genrsa -out rootCA.key 2048

    Подсказка

    • openssl genrsa — команда для генерации RSA-ключа

    • -out rootCA.key — указываем имя файла куда будет сохранен ключ, например: rootCA.key

    • 2048 — длина ключа в битах

    openssl req -x509 -new -key rootCA.key -days 10000 -out rootCA.crt

    Подсказка

    • openssl req — создание сертификата

    • -x509 — указание самоподписанного сертификата

    • -new — создается новый сертификат

    • -key rootCA.key — указывается ранее сгенерированный приватный ключ

    • -days 10000 — срок действия сертификата в днях

    • -out rootCA.crt — указываем имя файла в который будет сохранен созданный сертификат, например: rootCA.crt

  2. Сгенерировать приватный ключ и сертификат, который подписан корневым сертификатом

    openssl genrsa -out lnx-dc11.test.alt.key 2048

    openssl req -new -key lnx-dc11.test.alt.key -out lnx-dc11.test.alt.csr

    см пункт 1

  3. Ответьте на вопросы, добавив такие детали, как название страны, название организации и другие необходимые уточнения

  4. В поле Common Name важно указать FQDN имя хоста, для которого генерируется сертификат

    openssl x509 -req -in lnx-dc11.test.alt.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out lnx-dc11.test.alt.crt -days 5000

    Подсказка

    • openssl x509 -req — запрос на сертификат

    • -in lnx-dc11.test.alt.csr — указание какой файл необходимо подписать

    • -CA rootCA.crt — указываем файл с корневым сертификатом

    • -CAkey rootCA.key — указываем файл с закрытым ключом корневого сертификата, который используется для подписи

    • -CAcreateserial — если файл с серийным номером не существует, то его необходимо создать

  5. Копируем сгенерированные ключи в рабочий каталог Samba

    cp lnx-dc11.test.alt.crt /var/lib/samba/private/tls/

    cp lnx-dc11.test.alt.key /var/lib/samba/private/tls/

    cp rootCA.crt /var/lib/samba/private/tls/

  6. В секцию Global в /etc/samba/smb.conf добавляем параметры

    ldap server require strong auth = yes

    tls enabled  = yes

    tls keyfile  = tls/lnx-dc11.test.alt.key

    tls certfile = tls/lnx-dc11.test.alt.crt

    tls cafile   = tls/rootCA.crt

  7. Перезапускаем сервис Samba командой:

    systemctl restart samba

  8. Открыть веб-интерфейс RuDesktop

  9. Перейти на страницу «Домены»

  10. Нажать на кнопку Добавить Домен

  11. Заполнить поля

    • Тип AD — Active Directory

    • Использовать TLS шифрование — активировать галочку

    • Игнорировать ошибку сертификата — активировать галочку

  12. Загрузить файл сертификата в поле Файл сертификата который сгенерировали ранее

  13. Выполнить синхронизацию

После синхронизации с контроллером домена, все найденные пользователи, группы и устройства добавятся на сервер RuDesktop

После выполненных действий можно авторизовываться под доменным пользователем