Первичная настройка СРК для работы с MS AD

  1. Запросите у Администратора MS AD наименования созданных групп пользователей, которые будут ассоциированы с ролями СРК, а также аутентификационную информацию служебной учетной записи Bind User, обладающей правами на получение данных о пользователях и группах из дерева LDAP, для последующей аутентификации.

  2. Войдите в RBM посредством существующего механизма аутентификации, основанного на СУБД PostgreSQL (Рисунок 1).

    authorization
    Рисунок 1. Авторизация в RBM

  3. Активируйте в RBM сервисный режим СРК в разделе настроек в правом верхнем углу экрана (Рисунок 2).

    enable service mode
    Рисунок 2. Активация Сервисного режима

  4. Перейдите в раздел Администрирование (Рисунок 3).

    administration
    Рисунок 3. Раздел Администрирование

  5. Перейдите в подраздел Настройки соединения с MS Active Directory (Рисунок 4).

    go to settings
    Рисунок 4. Переход в Настройки соединения с MS Active Directory

  6. Укажите следующие настройки для подключения к MS AD (Рисунок 5):

    msad connection settings ldap
    Рисунок 5. Настройки соединения с MS Active Directory

    • Протокол (LDAP/LDAPS);

      При выборе LDAPS указывается путь к клиентскому и корневому сертификатам Службы сертификации, выдающей сертификаты контроллерам домена (Рисунок 6).

      msad connection settings ldaps
      Рисунок 6. Выбор протокола

      Сертификаты должны находиться на основном сервере СРК. Проверкой сертификатов будет служить первое подключение к серверу MS AD;

    • Адрес сервера MS AD - hostname или ip-адрес для LDAP-протокола, для LDAPS — только hostname.

      При установке соединения с неправильным адресом сервера появится предупреждение (Рисунок 7):

      warning server not opening
      Рисунок 7. Предупреждение. Сервер LDAP не открывается

    • Порт. Значениями по умолчанию являются — 389 для LDAP, для LDAPS636;

    • Учетные данные для служебного пользователя Bind User: домен и логин в формате <домен>\<логин>, а также пароль;

      Логин, пароль и базу поиска можно узнать в свойствах пользователя MS AD (Рисунок 8):

      • Логин - второе поле секции "Имя входа пользователя (пред-Windows 2000)" (bind_user для данного случая);

      • Пароль - устанавливается если нужен;

      • Домен - первое поле секции "Имя входа пользователя (пред-Windows 2000)" (RUBACKUP для данного случая);

      • База поиска - второе поле секции "Имя входа пользователя". Для каждой части устанавливается тег dc. (rubackup.msad образует базу поиска "dc=rubackup,dc=msad" для данного случая)

      ms ad interface
      Рисунок 8. Свойства пользователя

      При установке соединения с неправильным логином и паролем появится предупреждение (Рисунок 9):

      warning error authentication
      Рисунок 9. Предупреждение. Ошибка аутентификации LDAP

    • User search base — указывает, от какого объекта в иерархии Active Directory начинать поиск пользователей;

    • Group search base — указывает, от какого объекта в иерархии Active Directory начинать поиск групп.

  7. Нажмите на кнопку Установить соединение с сервером MS AD, чтобы произвести тестовый запрос и проверить:

    • Возможность подключения к указанному серверу MS AD, используя предоставленные параметры для подключения;

    • Возможность получения списка информации о пользователях и группах из дерева LDAP.

  8. Если вы успешно прошли шаги c п. 6, предварительная настройка СРК для работы с MS AD успешно завершена — открывается окно Ассоциация групп MS AD и ролей RuBackup (Рисунок 10):

    group and role associations
    Рисунок 10. Ассоциация групп MS AD и ролей RuBackup

  9. Если Вам не удалось успешно пройти шаги c п. 6, RBM отображает сообщение о невозможности подключения к серверу MS AD.

    Выполните шаги из раздела Решение проблем для устранения сложностей, а затем повторите шаги раздела Первичная настройка СРК для работы с MS AD, начиная с п. 4.

  10. СРК сохраняет указанную конфигурационную информацию в БД RuBackup. Пароль от пользователя Bind User сохраняется в БД RuBackup в зашифрованном средствами PostgreSQL виде.

  11. Находясь в подразделе Ассоциация групп MS AD и ролей RuBackup, добавьте ассоциации групп MS AD с ролями СРК (Рисунок 11):

    add group associations
    Рисунок 11. Добавление ассоциации групп

    Одну роль доступа RuBackup вы можете связать с одной или несколькими группами MS AD. Связать одну группу MS AD с несколькими ролями СРК нельзя: учетная запись MS AD не может принадлежать нескольким ролям RuBackup.

    Информация о пользователях, входящих в группу MS AD, есть только у администратора MS AD и не отображается в СРК RuBackup.

  12. Сохраните информацию в RBM, нажав на кнопку Применить.

  13. Деактивируйте сервисный режим.

Настройка СРК для работы с MS AD успешно завершена.