Загрузка...Синхронизация с Active Directory / LDAP
Синхронизация с Active Directory / LDAP¶
Модуль предназначен для синхронизации с Active Directory / LDAP карточек Сотрудников, Подразделений и Статических ролей.
Модуль не входит в типовую поставку и приобретается отдельно.
Начиная с версии 3.3 синхронизация совместима с протоколом LDAPv3.
Посмотреть информацию о доступных модулях, включённых в лицензию можно в приложении Tessa Admin, раздел “Информация”:
Данный модуль может выполнять:
периодическую синхронизацию данных в указанные моменты времени;
синхронизацию данных по запросу пользователя (вручную).
Карточки Сотрудников:
Маппинг полей (тип объекта person / user):
Фамилия, имя и отчество берутся из указанных выше параметров или на основании параметров cn , name , displayName (если параметры из таблицы пусты).
Карточки Подразделений:
Сотрудники, входящие в подразделение.
Маппинг полей (тип объекта organizationalUnit):
Карточки Статических ролей:
Сотрудники, входящие в статическую роль.
Маппинг полей (тип объекта group / ipausergroup / posixgroup):
Если в Active Directory / LDAP удален (или заблокирован) сотрудник, удалены подразделение или группа, то после синхронизации в соответствующих карточках Tessa выставится флаг “Скрывать при выборе”. В карточке Сотрудника, помимо этого, поменяется тип входа на “Вход воспрещён”.
3. Повышение сервера до контроллера домена
После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:
* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.
В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:
В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:
В окне Параметры DNS нажимаем Далее.
В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:
В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.
Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.
Services tab
This tab provides a list of file protocols and application services available to the NAS OS device. Based upon the needs of users, the administrator can choose to maintain certain services while leaving others turned off. Examples:
- The administrator may wish to turn AFP (Apple Filing Protocol) off if there are no Macintosh computers on the network.
- The administrator can enable the FTP service in order to provide access to the NAS via a third-party FTP application. See FTP for details.
Serviceactivation
There are three levels of service activation:
- Enable/disable
- Global service activation
- Share protocols
The Services tab allows you to manage the settings for enable/disable and global service activation. The share protocols are managed per share on the Shares page.
In all cases, enabling/disabling a service will override global service activation and share protocols. If a service is enabled, a green light will appear in the Status column. Not all services are enabled by default.
To disable a service, pass the cursor to the far right of its row to make the Edit pull-down menu visible and choose Disable.
Perform the same action to Enable a service.
To view the Global service value, select the Edit pull-down menu and choose Advanced parameters. The pull-down menu allows you to deactivate/activate the global service value.
The global service level is, by default, set to Activated. This means that the service is ready for use by all shares as long as it is enabled. An administrator can also choose to deactivate a service at the global service activation level while enabling it. Doing so allows the administrator to limit the service to individual shares by adjusting the protocol value in Shares. For example, the administrator may wish to limit the Time Machine service to a single share that is only available to a Mac on the network.
See the table below for examples of service settings:
| Enable/Disable | Global Service Value | Share Protocols | Use |
|---|---|---|---|
| Enable | Activated | Set to Global | The service is ready for use |
| Disable | Activated | Set to Global | The service is not available |
| Enable | Deactivated | Set to Activated | The service is available to the specific share |
| Enable | Activated | Set to Deactivated | The service is not available to the specific share |
See Shares for instructions on adjusting the settings for share protocols.
Ethernet ports (LAN) and services
The administrator can limit certain services to a LAN port by selecting the Edit pull-down menu icon and choosing Advanced parameters. Use the pull-down menu to select the preferred LAN port for the service.
Services summary
Review the status for all services by choosing Show summary at the top of the Services tab.
Application services
- You can review further details on application services:
- Time Machine: see Backup: Seagate NAS and PC/Mac
- UPnP/DLNA: see Media Server
- iTunes: Media Server
- Network Backup: see Remote Backups: Enable Network Backup Server. Activating Network Backup server will disable SFTP.
- Download machine: see Download.
iSCSI: iSNS servers and LAN
The iSCSI service should be used to direct iSCSI target volumes to an iSNS (Internet Storage Name Service) server on the network. Doing so will allow workstations (initiators) to discover the NAS OS device’s iSCSI volumes via the iSNS server rather than using a direct connection. Using an iSNS server is ideal when managing multiple iSCSI volumes (targets) and compatible workstations (initiators). To enter the iSNS server IP address:
- Pass the cursor to the far right of the iSCSI row to make the Edit pull-down menu visible.
- Choose the checkbox and enter the IP address of the iSNS server.
For instructions on creating iSCSI volumes on your NAS, see iSCSI Target.
You can also limit the iSCSI service to a single LAN:
- Pass the cursor to the far right of the iSCSI row to make the Edit pull-down menu visible.
- Choose Advanced parameters.
- Select the pull-down menu to choose LAN 1 or LAN 2.
Important info regarding iSCSI volume sharing: Mounting an iSCSI volume on multiple workstations at the same time will lead to serious file corruption. An exception can be found with SAN cluster environments that include servers and software dedicated to managing iSCSI volume sharing.
Printer server
Follow the directions below to share a printer on the network via the NAS OS device:
- Connect your printer to a USB port on your NAS.
- Pass the cursor to the far right of the printer row to make the Edit pull-down menu visible.
- Check the status of the Printer server. A green light indicates that the NAS has discovered the printer.
Computers on your network may require specific drivers to use the printer. See the user manual for your printer.
Important info: For multi-function printers, only the print feature is supported. If your printer has a scan feature, for example, it will not work when connected to the NAS. In addition, only PostScript printers are supported. If your printer does not appear in the printer service, it is likely that it does not support PostScript printing. This is frequently the case with multi-function and photo printers. Seagate cannot guarantee that your printer supports the proper protocols to make it a networked printer.
Синхронизация времени с сервером active directory
Данная глава руководства администратора рассказывает о возможности импорта объектов ARTA Synergy из сторонних каталогов посредством Active Directory . В ней детально описано как настроить и эксплуатировать LDAP а рамках ARTA Synergy .
Что такое LDAP
LDAP — это аббревиатура от Lightweight Directory Access Protocol . Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500 . LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF .
Информационная модель LDAP основана на записях ( entry ). Запись — это коллекция атрибутов ( attribute ), обладающая уникальным именем ( Distinguished Name, DN ). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип ( type ) и одно или несколько значений ( value ). Обычно типы — это мнемонические строки, в которых отражено назначение атрибута, например cn — для общепринятого имени ( common name ), или mail — для адреса электронной почты. Синтаксис значений зависит от типа атрибута.
Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог.
Кроме того, LDAP , посредством специального атрибута objectClass , позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы ( schema ), которым должны подчиняться записи.
В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.
LDAP и Arta Synergy
При синхронизации LDAP и Arta Synergy можно выделить некоторые особенности:
Синхронизация LDAP и Arta Synergy осуществима из LDAP каталога в ARTA Synergy , причем за тот период, который указан в конфигурационном файле.
Синхронизация возможна сразу с несколькими каталогами.
Списки синхронизируемых пользователей и групп определяются фильтрами, указанными в конфигурационном файле.
Ключ соответствия (поле, по которому будет определяться связка « Объект каталога LDAP <-> Пользователь Synergy » ) настраиваемый, например, можно использовать для этого ИИН.
Пароли пользователей не синхронизируются, авторизация происходит непосредственно на LDAP каталоге посредством Simple Bind .
Помимо стандартных полей карточки пользователя (ФИО, доступ в систему и т.п.) можно синхронизировать произвольные поля — с добавлением в карточку пользователя на формах.
Установка и настройка Active Directory
Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.
Подробно рассмотрим установку и настройку Active Directory в ОС Windows Server 2012 R2.
Перейдите в Server Manager и нажмите на Add roles and features .
Откроется мастер установки ролей и компонентов.
В шаге Installation Type выберите пункт Role-based of feature-based installation .
В шаге Server Selection выберите пункт сервер, для которого будет установлена роль.
В шаге Server Roles выберите пункт Active Directory Domain Services .
Подтвердите добавление компонентов роли, нажав на кнопку Add Features .
Пропустите шаг Features и подтвердите установку роли Active Directory.
После успешной установки роли мастер установки отобразит окно подтверждения.
После успешной установки необходимо настроить Active Directory. Откройте Server Manager и нажмите на пиктограмму флага. В открывшемся выпадающем списке нажмите на Promote this server to a domain controller .
В открывшемся мастере настройки Active Directory добавьте новый лес. Для этого в шаге Deployment Configuration выберите пункт Add a new forest и укажите название корневого домена.
В шаге Domain Controller Service задайте пароль для режима восстановления служб каталогов.
В шаге Additional Options измените имя домена NetBIOS.
В шаге Paths укажите папки базы данных, файлов журнала и SVSVOL.
В шаге Review Options отобразится список всех настраиваемых опций.
В шаге Prerequisites Check подтвердите настройку выбранных опций.
После успешной настройки компьютер будет перезагружен автоматически.
Создание пользователей в Active Directory
После успешных установки и настройки Active Directory добавим пользователей для доступа к ARTA Synergy.
Откройте Active Directory Users and Computers .
Выделите ноду Вашего домена (в примере synergy.tm ) и нажмите кнопку добавления подразделения.
Введите название будущего подразделения.
Выбрав новое созданное подразделение, нажмите на кнопку создания пользователей.
Укажите имя, фамилию и логин будущего пользователя.
Задайте пароль и включите флаг, отвечающий за устаревание пароля (если включен — пароль никогда не устаревает).
Подтвердите создание нового пользователя.
Повторив пп. 4-7 создайте требуемых пользователей.
Теперь необходимо выдать этим пользователям доступ в систему ARTA Synergy. Для этого нажмите на кнопку создания новых групп.
Укажите название будущей группы. В данную группу будет входить Администратор Active Directory.
Нажмите на кнопку Add .
Введите имя пользователя и нажмите на кнопку Check Names .
Мастер автоматически дополнит значение учетной записи соответствующего пользователя.
Создайте еще одну группу для доступа всех пользователей к системе ARTA Synergy.
Повторив пп. 11-13 добавьте всех пользователей в группу доступа.
Работа с LDAP-каталогами
Для работы с LDAP -каталогами возможно использовать любой клиент с поддержкой LDAP -протокола. Одним их таких клиентов является JXplorer .
JXplorer — кроссплатформенный LDAP браузер и редактор с поддержкой безопасности (в том числе SSL , SASL и GSSAPI ), перевода на многие языки, онлайн-помощью, коммерческой поддержкой, пользовательскими формами и многими другими возможностями.
Соответствует общим стандартам клиентов LDAP , которые можно использовать для поиска, чтения и редактирования любого стандартного каталога LDAP или любой службы каталогов с LDAP или интерфейсом DSML .
Рассмотрим его функциональность на примере поиска пользователя в одном из каталогов.
Подключимся к серверу с данными Администратора:
Рисунок 6.17. Рисунок 1
В открывшейся закладке Explore отобразилось дерево со всеми объектами каталога, доступные авторизованному Администратору. При выборе объекта из навигатора в основной рабочей области отобразились все атрибуты данного объекта, а также их значения:
Рисунок 6.18. Рисунок 2
Примечание
Полный список возможных атрибутов представлен здесь
Вызовем окно поиска по каталогу — Search -> Search Dialog . В открывшемся диалоге укажем базовый узел поиска, от которого он будет осуществляться, и сам фильтр:
Рисунок 6.19. Рисунок 3
Клиент автоматически перешел на вкладку Results с найденными результатами запроса:
Deploying WPA2-Enterprise and 802.1x
There are just a few components that are needed to make 802.1x work. Realistically, if you already have access points and some spare server space, you possess all the hardware needed to make secure wireless happen. Sometimes you don’t even need the server: some access points come with built-in software that can operate 802.1x (though only for the smallest of small deployments). Regardless of whether you purchase professional solutions or build one yourself from open source tools, the quality and ease of 802.1x is entirely a design aspect.
What’s in; what’s out
Windows 10 is getting Wi-Fi 6 support; less for the improved bandwidth and more for the Wi-Fi Protected Access 3 Hash-to-Element protocol (WPA3 H2E) that protects against the Dragonblood attacks on the way WPA3 encodes passwords for its SAE (Simultaneous Authentication of Equals) handshake (also known as Dragonfly).
Although enterprise Wi-Fi networks aren’t vulnerable, on the kind of personal wireless networks people will be using when working from home or at the coffee shop sidechannel attacks SAE could steal Wi-Fi passwords and other information. Assuming you have Wi-Fi 6 hardware in your PC, H2E is a more secure option that’s also more computationally efficient.
However, Windows 10 isn’t getting the USB 4 support that’s in Windows 11; USB 4 ports are only on new PCs, but that includes some of the new Surface models from Microsoft, which are available with Windows 10 as an option.
Similarly, Windows 10 isn’t getting the WSLg feature from Windows 11 that lets you run graphical Linux applications and have them show up on the Windows Start menu (although you can still run your own X Server) or the Linux file system integration that puts Linux folders in File Explorer.
But in the November 2021 Update, you can use GPU compute in WSL 2 if you’re using it for machine learning or other applications that use the GPU to speed up massively parallel calculations. That means you can run machine learning frameworks like PyTorch and TensorFlow in WSL2. Any GPU with DirectX 12 drivers gives you DirectML support, although you may need to update your driver for it to work with TensorFlow in WSL 2; if you have an NVidia card, Windows 10 will support CUDA in WSL 2 as well.
Already supported in Windows 11, Windows 10 is getting the cloud trust model that Windows Hello for Business will introduce in 2022 for going passwordless.
Usually organizations that use Windows Hello have to deploy Azure AD Connect and sync to their Active Directory with writeback; that’s a lot of work and each sync can take anywhere from minutes to hours. Based on the work Microsoft did to let organizations use Azure AD to sign in to traditional AD resources on your network using a FIDO2 security key, cloud trust still requires Azure AD Connect but lets you run a PowerShell script to create the necessary trust between AAD and AD. Users will be able to sign in using a Windows Hello biometric device–the camera in their laptop or a fingerprint sensor – instead of a hardware key, get authenticated through Azure AD and get access to resources managed by Active Directory on your network with much less work for the IT team.
Cloud trust will let Windows Hello for Business use Azure AD to sign users in to AD resources on your network.
The UWP VPN APIs for creating and controlling VPN connections get some protocol and authentication updates and there are unspecified security updates in a range of Windows components, including the kernel and cryptography subsystem.
Universal Print in Windows 10 Enterprise now supports print jobs up to 1GB (either a single file or multiple smaller files printed within a 15 minute window). It can print from OneDrive documents in a browser (including Excel for web by the end of 2021).
To simplify device management and encourage organizations to move from group policy to MDM, Windows 10 gets the same 1,400+ new MSM settings that you can apply though ADMX administrative templates, with policies for areas like App Compat, Event Forwarding, Servicing, and Task Scheduler. The new templates will be available later this week along with a spreadsheet of the policy settings, Microsoft tells us.
Windows 10 is already getting the new Store from Windows 11; by the end of the year, it will be on every version of Windows 10 from 2004 onward. But the Windows Subsystem for Android and the Android app stores that come with it are just on Windows 11.
Microsoft already declined to say whether Windows 10 will get the smaller, faster monthly Windows Update packages from Windows 11 and we don’t expect the EcoQoS feature that improves battery life on newer CPUs to come to Windows 10; and 64-bit emulation is also off the table.
Chris Lorigan, head of the Surface product portfolio at Microsoft UK, previously told us that the Arm-based Windows Pro X would move to Windows 11. «The Pro X is our line in the sand; we’re moving this form factor, this device specifically forward to only be available with Windows 11.»
All Windows on Arm devices except the very first models from OEMs like HP can run Windows 11, and Microsoft has now said that moving to Windows 11 is the only way to get X64 emulation on Arm (even though Windows Insiders have previously tested the technology on Windows 10). The ARM64EC superset of the ARM64 architecture that allows developers to combine emulated and native code (particularly useful for plugins) is also only supported on Windows 11.
Last resort: Support ticket with Microsoft
Your Azure AD Connect Synchronization Service should be clean from errors to ensure that everything is in Azure AD and that you are not missing anything. If you are not sure about something that IdFix cannot resolve, you can always open a support ticket from the portal for Microsoft to assist.
One other thing to point out that can be helpful to you: Use the export button, which will export everything to a .CSV file for you to work with.
If you encounter issues with the tool, look at the FAQ on the GitHub page mentioned at the beginning of this article, It should answer the question or query you have.
On a final note, look at the errors supported by the IdFix tool as well. They are broken up into different sections.
