Перейти к содержимому


Фото
- - - - -

Dr.Web ESS 10 + LDAP

ldap

  • Please log in to reply
19 ответов в этой теме

#1 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 08:38

Приветствую.

Заранее прошу прощения если где-то упустил информацию по моему вопросу. Второй день бьюсь с настройками, информации в интернете ноль. Вынужден просить помощи у вас.

Суть вопроса:

Имеем Dr.Web Сервер 10.01.0 на Windows server 2003 R2

Имеем контроллер домена с адресом 192.168.0.1 на базе 2008 R2 и домен вида "xxx.yyy.zzz.ru"

На контроллере домена в AD создана группа DrWebAdmins в неё внесены три пользователя с правами администратора домена.

Задача: настроить для них доступ к администрированию Dr.Web по вебморде с помощью LDAP.

 

Вписывал и CN и DN, ставил в url порт 389. Какие бы я варианты не пробовал пишет "Некорректная регистрационная информация". На других ресурсах ldap работает по порту 389, samAccountName и технической учёткой доменного админа.

Напишите если нужна ещё какая информация для решения вопроса.


Сообщение было изменено Арзамас: 24 Ноябрь 2017 - 08:39


#2 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 12:59

Добрый день!

Начну с хороших новостей -- то, как именно, вы ожидаете увидеть процесс конфигурирования, реализовано в следующей версии.

 

Сейчас всё немного сложнее. авторизация основана на проверке таких сущностей, как атрибуты LDAP.

К тому же, диапазон поиска base, то есть, для поиска атрибута, необходим полный DN.

Полный DN пользователя, можно узнать, скачав и запустив утилиту от MS https://docs.microsoft.com/en-us/sysinternals/downloads/adexplorer

Он будет выглядеть, например, так:

 

CN=User1,CN=DrWebAdmins,CN=Users,DN=xxx,DN=yyy,DN=zzz,DN=ru

 

Тогда, в "Правила трансляции имен в DN с использованием DOS-подобных масок", в поле "Регистрационное имя пользователя", вы задаете формат логина, вида:

YOURDOMAINNAME\*

 

В "уникальное имя контейнера" полный DN пользователя, в нашем примере:

CN=User1,CN=DrWebAdmins,CN=Users,DN=xxx,DN=yyy,DN=zzz,DN=ru

если CN=User1 будет совпадать с тем, что пользователь будет писать в 'YOURDOMAINNAME\*' вместо звездочки, тогда, в имени контейнера можно задать CN=\1 и вместо \1 будет подставлено все, что захватит *

 

А в условиях аутентификации, "Атрибут администратора Сервера Dr.Web" пишете memberOf и в условиях истинности ваш CN=DrWebAdmins


Сообщение было изменено Kirill Polubelov: 24 Ноябрь 2017 - 13:00

(exit 0)

#3 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:10

Не получается. Видимо я делаю явно что-то не так. Прикрепил файлы, просьба после решения вопроса удалить сообщение.


Сообщение было изменено VVS: 24 Ноябрь 2017 - 14:56


#4 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:22

В поле ввода "Уникальное имя пользователя" уберите всё, оставьте его пустым.

А CN=DrWebAdmins перенесите из "Атрибут со списком групп пользователей" в "Условия истинности", вместо ^TRUE$

 

Картинки, вроде бы, вы можете сами удалить. У меня такой возможности нет, только у модератора.


Сообщение было изменено Kirill Polubelov: 24 Ноябрь 2017 - 14:23

(exit 0)

#5 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:25

Хотя, в вашем случае, учитывая DN, вы можете оставить его, либо в поле "Уникальное имя контейнера", либо в "Уникальное имя пользователя", с использвоанием \1.

Можно и там и там, но, необходимости в этом нет.

Но, давайте, все же, вначале попробуем один вариант, когда DN только в "Уникальное имя контейнера".


Сообщение было изменено Kirill Polubelov: 24 Ноябрь 2017 - 14:26

(exit 0)

#6 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:32

Редактирование сообщений на данном форуме ограничено по времени.

Сделал как Вы советовали - заработало.

Теперь вопрос: если имя CN не совпадает с логином как быть? Допустим логин test а учётка CN=Иванов Иван Иванович


Сообщение было изменено Арзамас: 24 Ноябрь 2017 - 14:36


#7 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:36

Редактирование сообщений на данном форуме ограничено по времени.

Аттачи где-то в настройках профиля можно удалить, емнип.


Семь раз отрежь – один раз проверь

#8 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:37

UPD: ну, раз заработало, удалил просьбу про  лог )


Сообщение было изменено Kirill Polubelov: 24 Ноябрь 2017 - 14:39

(exit 0)

#9 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:38

Минимум 3, уже набрано.


Семь раз отрежь – один раз проверь

#10 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:41

Не, всё заработало. Я убрал ещё пробел из OU. Переименовав adm Accounts в admAccounts

Вопрос, можно ли сделать авторизацию по логину, не yourdomain\user а просто user? 



#11 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:49

Прошу модераторов удалить мои миниатюры с данными AD.

Так же повторю вопросы:

1.  если имя CN не совпадает с логином как быть? Допустим логин test а учётка CN=Иванов Иван Иванович.

2. можно ли сделать авторизацию по логину, не yourdomain\user а просто user?



#12 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:54

Теперь вопрос: если имя CN не совпадает с логином как быть? Допустим логин test а учётка CN=Иванов Иван Иванович

 

К сожалению, из-за того, что rules scope=base, самый простой вариант, если пользователей немного:

'Регистрационное имя пользователя'

goradm\test

 

'Уникальное имя контейнера'

CN=Иванов Иван Иванович,OU=Test,OU=admAccounts,DC=goradm...

 

'Регистрационное имя пользователя'

goradm\test1

 

'Уникальное имя контейнера'

CN=Петров Петр Петрович,OU=Test,OU=admAccounts,DC=goradm...

и т.д.

 

Либо, выбрать другой атрибут, доступный для проверки уровнем выше, если удастся его выбрать/найти.

 

Как я уже упоминал, в новой версии сделано всё по-человечески.

Задаёте формат логина, задаёте группы, которым разрешаете вход.

 

 

 

Вопрос, можно ли сделать авторизацию по логину, не yourdomain\user а просто user?

 

Можно, если user не будет совпадать с имеющимся именем в ЕС.

Ес ищет вначале, имя в своей базе, затем в лдап.

Но лучше, настоятельно рекомендую, использовать такой, или DOMAIN@user формат. Заодно, сразу понятно, что авторизация прошла через лдап.

Понятно, что тогда надо добавить DOMAIN@* еще одной строкой, если решите его использовать.


Сообщение было изменено Kirill Polubelov: 24 Ноябрь 2017 - 14:56

(exit 0)

#13 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:59

С первым я уже разобрался.

Со вторым поподробнее. У меня вариант только test@domain или domain/user ? И только? Какой параметр нужно ввести в Регистрационное имя пользователя чтобы получить логин просто user?



#14 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Ноябрь 2017 - 14:59

Прошу модераторов удалить мои миниатюры с данными AD.

Вот тут посмотрите:

Dr.Web forum → Ваша Панель управления → Настройки → Управление прикрепленными файлами

 


Семь раз отрежь – один раз проверь

#15 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:04

 

Прошу модераторов удалить мои миниатюры с данными AD.

Вот тут посмотрите:

Dr.Web forum → Ваша Панель управления → Настройки → Управление прикрепленными файлами

Благодарю!

 



#16 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:18

Со вторым поподробнее. У меня вариант только test@domain или domain/user ? И только? Какой параметр нужно ввести в Регистрационное имя пользователя чтобы получить логин просто user?

 

Смотрите, тут нюанс в том, что биндинг в лдап, будет осуществляться с именем, либо из "Регистрационное имя пользователя", либо, из "Уникальное имя пользователя".

Учитывая тот факт, что лдап-сервер, всё таки, захочет от вас что-то типа goradm@user или goradm\user, у вас есть варианты:

1.

'Регистрационное имя пользователя'

goradm\*

или

'Регистрационное имя пользователя'

goradm@*

 

тогда юзер должен будет вводить либо goradm@test, либо goradm\test

 

2.

'Регистрационное имя пользователя'

*

"Уникальное имя пользователя"

goradm\\\1

или

goradm@\1

если ваш лдап сервер понимат goradm@user

 

только пользователь сможет ввести просто test

но, при условии отсуствия, до этого, такого пользователя в базе ЕС, точнее, он там появится, после первой регистрации, но, уже отмеченный как пользователь с внешней авторизацией. Это нормально.


(exit 0)

#17 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:19

Как я уже упоминал, в новой версии сделано всё по-человечески.
Задаёте формат логина, задаёте группы, которым разрешаете вход

Разве у меня не последняя версия? Скачивал недавно и разворачивал.



#18 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:22

Разве у меня не последняя версия? Скачивал недавно и разворачивал.

Речь про ту новую версию, которая ещё не вышла в релиз.


Семь раз отрежь – один раз проверь

#19 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:23

Новая версия, та, которая еще только готовится к выпуску )


(exit 0)

#20 Арзамас

Арзамас

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Ноябрь 2017 - 15:26

Всем ОГРОМНОЕ спасибо, выручили. Пока устроит так, буду ждать релиза!




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых