Настройка Ideco ICS для работы с LDAP сервером

В начало  Назад  Далее

Настройка Ideco ICS для работы с контроллером домена (Active Directory) или LDAP-сервером

В Ideco ICS есть возможность импортировать существующих пользователей с контроллера домена (Active Directory). Учетные данные пользователей при этом хранятся на контроллере домена (Active Directory), при авторизации пользователей Ideco ICS будет проверять их на контроллере домена.

Чтобы работать с контроллером домена, необходимо:

* В локальной консоли в разделе "Конфигурирование сервера" -> "Конфигурирование сети", либо в веб-интерфейсе: "Сервер" -> "Сетевые параметры" на вкладке "Общие" установить флажки:

"[X] Включить авторизацию через LDAP/AD".

"[X] Включить авторизацию VPN/PPPoE через домен"

* Сделать мягкую перезагрузку.

puc_00

Чтобы доменные пользователи могли авторизовываться на сервере Ideco ICS, необходимо импортировать пользователей с контроллера домена (Active Directory). Для этого необходимо:

* В веб-интерфейсе создать новую группу пользователей. В свойствах группы на вкладке "Информация" - "Общие" установить флажок "Синхронизация с LDAP/AD".

Чтобы Ideco ICS могла проверять логин и пароль пользователей в домене, необходимо ввести её в домен:

pic_10

После этого нужно настроить, откуда импортировать пользователей

puc_20

• "IP адрес сервера LDAP/AD" – IP адрес контроллера домена.

• "Доменное имя" – полное имя домена (без имени контроллера домена).

• "LDAP группа" – папка в дереве, из которой необходимо импортировать пользователей.

• "Windows группа" – указать название Группы пользователей Windows, пользователи которой должны выходить в Интернет с помощью Ideco ICS. Если такая группа не создана, то оставить это поле пустым. В этом случае будут синхронизироваться все пользователи из папки "LDAP группа"

• "Пользователь" и "пароль пользователя" – указать логин и пароль для подключения к LDAP серверу. От имени этого пользователя должна быть доступна на чтение папка "LDAP группа"

• Нажать на кнопку "Сохранить и проверить". Будет произведено тестовое подключение к серверу и проверка пароля.

* Примечание: "Windows группа" при синхронизации используется только тогда, когда необходимо из LDAP группы (на языке AD - Контейнер или Organizational Units) импортировать только часть пользователей, объединенных в группу.

При импорте из контроллера домена копируется вся структура подкаталогов. Если число пользователей очень большое, то импорт может занять некоторое время.

Учетные данные пользователей при этом будут храниться на контроллере домена (Active Directory). Импортировать можно вручную, указав нужных пользователей:

puc_30

и автоматически, для этого нужно в настройках группы поставить флажок "Обновлять пользователей AD". В этом случае Ideco ICS будет периодически соединяться с контроллером домена и обновлять дерево пользователей:

puc_40

Ideco ICS не хранит пароли пользователей домена, и при каждой авторизации будет проверять их на контроллере домена.

Для пользователей из домена доступны все типы авторизации, существующие в Ideco ICS, кроме веб-авторизации, вместо нее используется NTLM-аутентификация. Чтобы её использовать, необходимо включить флажки:

"[X] Включить авторизацию через веб-интерфейс".

"[X] Использовать NTLM-аутентификацию через Active Directory"

puc_50

По умолчанию, в Windows стоит повышенный уровень безопасности, поэтому пользователю, для которого выбрана веб-авторизация, при первой попытке выхода в Интернет, будет предложено ввести логин и пароль. Чтобы пользователю, вошедшему в домен, не вводить логин с паролем, ему нужно в настройках безопасности включить "Автоматический вход в сеть с текущим именем пользователя и паролем":

puc_60

Для правильной работы новых учетных записей, полученных из домена, нужно настроить параметры пользователей, если это требуется. Например: IP-адрес, тип авторизации, профиль выхода в интернет, порог отключения. После этого пользователи должны успешно пройти авторизацию на IdecoICS и получить доступ в интернет.