32 ответов в этой теме

[Новикевич Александр]

Уважаемые форумчане, помогите пожалуйста.

Есть такая задача - настроить авторизацию администраторов в WEB интерфейсе DrWeb ES 6.0 по LDAP протоколу. Но сама авторизация должна проходить в ActiveDirectory

Смысл в том, что "нашлепку" DRWeb для AD ставить не хотим, опасаясь ошибок с интеграцией, да и такая тесная интеграция DrWeb с AD нам не к чему. Потом может вызвать лишь проблемы.

 

Есть Win домен "domain.local", есть контроллер домена "dc.domain.local". В ActiveDirectory есть OU "DrWebAdmins". Как настроить авторизацию с AD пользуясь LDAP формой?

 

[Eugeny Gladkih]

Является администратором - memberOf
Условия истинности - вот это самое OU

так не пробовали?

[Kirill Polubelov]

Как пример файла auth-ldap.xml для сказанного Евгением Гладких:

 

 

<?xml version="1.0"?>

 

<!-- LDAP authorization module configuration -->

 

<drwcsd-ldap-auth>

 

  <enabled value="yes"/>

  <order value="10"/>

 

  <server url="ldap://your_Domain_Controller_name"/>

 

  <user-dn-expr user="yourname@yourdomain" base="CN=Your Name,OU=YourOU,DC=optional_yoursubdomain,DC=yourdomain,DC=ru"/>

  <user-dn-expr user="yourname1@yourdomain" base="CN=Your Name 1,OU=YourOU,DC=optional_yoursubdomain,DC=yourdomain,DC=ru"/>

  <user-dn-expr user="yourname2@yourdomain" base="CN=Your Name 2,OU=YourOU,DC=optional_yoursubdomain,DC=yourdomain,DC=ru"/>

 

  <user-dn-expr user="(.*)@yourdomain" base="CN=\1,OU=YourOU,DC=optional_yoursubdomain,DC=yourdomain,DC=ru"/>

 

  <user-dn-extension-enabled value="no"/>

 

  <group-reference-attribute-name value="memberOf"/>

  <admin-attribute-name value="primaryGroupID" true-value="^.+$" false-value="^FALSE$"/>

  <readonly-admin-attribute-name value="DrWebAdminReadOnly" true-value="^TRUE$" false-value="^FALSE$"/>

  <grouponly-admin-attribute-name value="DrWebAdminGroupOnly" true-value="^TRUE$" false-value="^FALSE$"/>

  <groups-admin-attribute-name value="DrWebAdminGroup"/>

 

</drwcsd-ldap-auth>

[Новикевич Александр]

Спасибо, попробую! Отпишусь по результату.

[Kirill Polubelov]

При этом в веб-интерфейсе достаточно включить только LDAP-авторизацию, ADS-авторизацию включать не надо.

[Xrom666]

Доброго дня!

А реально настроить Drweb авторизацию в AD через LDAP исходя не из того в какой OU пользователь, а из того какая у него должность или, к примеру, отдел?

Спасибо.

[Kirill Polubelov]

Ну если они видны в ADS как атрибуты, то реально.

[Xrom666]

1. Как узнать видны ли они как атрибуты? В остнастке в свойствах пользователя, во вкладке Организация есть поле Должность. Евляется ли оно атрибутом?

2. Если да, то как это настроить в ES?

[Kirill Polubelov]

1. Видны. Да. В стандартной оснастке названий атрибутов не увидеть, только их "торговые" названия. То есть, "Должность" в стандартной оснастке Майкрософт, на самом деле, в дереве Active Directory это атрибут title для соответствующего CN user-а.

Посмотреть действительные названия атрибутов можно при помощи утилиты ADExplorer от sysinternals.com http://technet.microsoft.com/ru-ru/sysinternals/bb963907 либо при помощи оснастки ADSIEdit.msc из состава пакета MS Administrative Support Tools Kit.

 

2. Если разделять по отделам, то удобнее всего, чтобы не прибегать к утилитам и формированию правил, создать через стандартную оснастку Active Directory соответствующие подразделения и тогда задача сводится к уже описанному выше примеру, когда у вас будет OU=itstaff

 <user-dn-expr user="(.*)@xrom" base="CN=\1,OU=itstaff,DC=xrom,DC=ru"/>

тогда, если пользователь xrom666@xrom входит в подразделение itstaff, то он будет признан администратором ЕС-сервера.

[Mokrov Dmitry]

Доброго времени суток!
 

Есть аналогичная проблема, но конфиг, описанный выше не помогает. Пишет всё время, что User not found.

Имя домена у нас имеет вид: X.spb.ru

Сам конфиг у нас представляет следующее:
<?xml version="1.0" encoding="utf-8"?>

<drwcsd-ldap-auth>

  <enabled value='yes'/>

  <order value='10'/>

  <user-dn-expr base='CN=\1,OU=OurOU, DC=X,DC=spb, DC=ru' dn='' user='(.*)@y2000.spb.ru'/>

  <user-dn-extension-enabled value='no'/>

  <group-reference-attribute-name value='memberOf'/>

  <admin-attribute-name false-value='^FALSE$' true-value='^TRUE$' value='DrWebAdminGroup'/>

</drwcsd-ldap-auth>

 

Где:
OurOU  - Organizational unit, в котором находятся учетные записи нужных пользователей.

DrWebAdminGroup – группа, к которой должны принадлежать админы DrWeb’а. Но, эта группа находится в другом OU. Возможно ли, что проблема в этом?

И, да, в нашей ситуации есть пользователи только с полными правами админа. Правильно ли я понимаю, что в таком случае, не обязательно указывать требования к остальным группам?

[Kirill Polubelov]

параметр server url просто вырезали из цитаты, или его и в конфиге нет?

[Kirill Polubelov]

+ рекомендую соблюдать единообразно сл. правило:

value=" .. "

base=" ... OU='...' .. "

user=" ... "

 

то есть, значения параметров в двойных кавычках, значения внутри, если требуется (скажем OU='IT Department') в одинарных кавычках.

Так, вообщем-то, в дефолтном конфиге и построено.

[Mokrov Dmitry]

Kirill Polubelov,

да, прошу прощения, как-то криво скопировал я, видимо.
А по поводу кавычек: он у меня сам их заменяет на одинарные, если нажать в настройках LDAP-авторизации, в web-интерфейсе, сохранить.
Исправил всё на двойные кавычки, ничего не поменялось. :-)

UPD: А, это при отправке сообщения вырезает, видимо, за плохую ссылку какую-то принимает.
 

 

Сообщение было изменено Mokrov Dmitry: 16 Октябрь 2013 - 08:07

[Kirill Polubelov]

Вырезаются html-теги по таинственным критериям скорей всего, действительно, боится url-ов.

 

Про кавычки -- это не в качестве причины ошибки (в данном конкретном случае, такая замена не критична), а для информации.

 

Касательно непосредственно User not found, возможно, что вам стоит поменять CN=\1 на UID=\1

[dvz]

Добрый день.

Подниму тему. Кто-нибудь настроил LDAP у себя. По приведенным тут конфигам не работает авторизация....

[Kirill Polubelov]

>> Кто-нибудь настроил LDAP у себя

Да

 

>> По приведенным тут конфигам не работает авторизация...

Проблемы?

[lioncub]

Пытаюсь применить простой конфиг:

cp auth-ldap-rfc4515-simple-login.conf auth-ldap-rfc4515.conf

меняю строчку на свой сервер:

<server host="domain.com"/>

Перехожу в админке на esuite/administration/authorization.ds в ответ:
 

Internal Server Error

The error '500 Internal Server Error' occurred while processing request you had sent.

We're sorry. The internal server error has occurred processing request you had sent.

Dr.Web Server

 

Как так? Шаблон заведомо неверный?

Сообщение было изменено lioncub: 20 Август 2018 - 07:02

[Kirill Polubelov]

Шаблон заведомо создавался до того, как вносились правки в раздел аутентификации.

Но сам раздел, тем не менее, вполне рабочий. Если расскажете, какой цели хотите достичь, может получится помочь.

[lioncub]

Если следовать этому шаблону, хочу для начала добиться аутентификации любого пользователя с LDAP/AD.

[Kirill Polubelov]

Зайдите в соотв. раздел (естественно, надо вернуть прежний auth-ldap-rfc4515.conf)

и попробуйте задать как на картинке.

 

 2018-08-20-142027_1310x584_scrot.png   49,25К   12 Скачано раз

 

Логин, соответственно domain\usernme

 

При условии, что у вас именно Microsoft Active Directory.

Группа 'Users', конечно, опять же, при условии, что все искомые пользователи к ней принадлежат. Может оказаться, что это 'Пользователи домена', например.

Сообщение было изменено Kirill Polubelov: 20 Август 2018 - 14:26