.. _ldap: Настройка аутентификации на прокси через LDAP в службе каталогов ============================================================================== Данный метод аутентификации поддерживается для служб каталогов: Mictosoft AD, Novell eDirectory, OpenLDAP. В данной инструкции описывается настройка LDAP для Mictosoft AD. .. note:: Для аутентификации Single Sign On (SSO) используйте `NTLM <./proxy_auth_ntlm.html>`_ или `Kerberos `_. Настройки в доменной инфраструктуре --------------------------------------------------------------------------------------------- Подробное описание настроек в доменной инфраструктуре выходит за рамки данной инструкции. Упомянем лишь некоторые важные аспекты настроек. Настройка центра сертификации Active Directory ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Настройте центр сертификации Active Directory на использование алгоритма подписи SHA-256 или SHA-384. Использование стандартного алгоритма подписи SHA-512 вызовет проблемы при работе LDAPS. Поменять используемый алгоритм подписи на машине с развернутым центром сертификации Active Directory можно командой: :: certutil -setreg ca\csp\CNGHashAlgorithm SHA256 После выполнения команды, перезагрузите службу **Active Directory Certificate Services**. Настройка LDAPS на контроллере домена ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Для настройки LDAPS на контроллере домена должен быть установлен валидный сертификат, отвечающий ряду критериев: * Сертификат установлен в раздел **Personal** в локальном хранилище компьютера * Соответствующий сертификату секретный ключ также присутствут в локальном хранилище компьютера * Сертификат может предъявляться сервером для аутентификации, т.е. поле **Enhanced Key Usage** в сертификате содержит OID **1.3.6.1.5.5.7.3.1** (Server Authentication). * Полностью квалифицированное доменное имя доменного контроллера указано в сертификате в поле **Subject** или в поле **Subject Alternative Name** * Сертификат издан центром сертификации, которому доверяет как LDAP-клиент так и доменный контроллер. Для установления доверия, на LDAP-клиенте и на доменном контроллере должен быть установлен сертификат издательства, издавшего данный серверный сертификат. Если используется цепочка издательств, то должна быть установлена вся цепочка сертификатов издательства. * При генерации сертификата должен использоваться криптопровайдер **Schannel cryptographic service provider (CSP)** Настройки на устройстве Traffic Inspector Next Generation --------------------------------------------------------------------------------------------- Импортирование сертификата центра сертификации Active Directory ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Осуществите импорт сертификата в соответствии с инструкцией **Использование сертификата центра сертификации Active Directory**. Данный сертификат потребуется для работы LDAPS. Настройка коннектора LDAP ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Пройдите в раздел **Система -> Доступ -> Серверы**, в правом верхнем углу нажмите на кнопку **Добавить сервер** и задайте настройки, аналогичные приведенным ниже: ===================================== ================================================================================================================================ ===================================== ================================================================================================================================ Описательное имя LDAP connector Тип LDAP Имя хоста или IP-адрес controller.dom.loc Значение порта 636 Транспортный протокол SSL - зашифрованный Центр сертификации пиров dom.loc CA Версия протокола 3 Привязать параметры доступа User Principle Name для пользователя Область поиска Уровень: единичный; База поиска: DC=dom, DC=loc Контейнеры для аутентификации OU=Users,OU=UO - LAN,DC=dom,DC=loc Атрибут присвоения имени пользователю samAccountName ===================================== ================================================================================================================================ | Поле **Имя хоста или IP-адрес** При настройке LDAPS, в поле **Имя хоста или IP-адрес** важно указывать именно DNS-имя LDAP-сервера (контроллера домена), и именно то DNS-имя, которое содержится в поле **Subject** или в поле **Subject Alternative Name** сертификата, предъявляемого LDAP-сервером. В нашем примере, LDAP-сервер / контроллер домена имеет DNS-имя **controller.dom.loc**. Поле **Транспортный протокол** При использовании LDAP, LDAP-клиент аутентифицируется на LDAP-сервере с использованием доменного логина / пароля. При использовании нешифрованного LDAP, все данные (в том числе логин и пароль) передаются в открытом виде и могут быть перехвачены. Предпочтительнее использовать LDAPS (LDAP over SSL/TLS). Поле **Центр сертификации пиров** В доменной среде Active Directory удобно использовать сертификаты, изданные центром сертификации Active Directory. Выберите ранее импортированный сертификат издательства в поле **Центр сертификации пиров**. В нашем примере, импортированный сертификат издательства называется **dom.loc CA**. Импортированный сертификат издательства используется для верификации серверного сертификата, предъявляемого LDAP-сервером. Поле **Привязать параметры доступа** В качестве параметра доступа лучше всего указать пользователя в виде принципала Kerberos (т.е. указать User Principal Name). Например, если домен Windows у нас **dom.loc**, а имя пользователя **danny**, то UPN выгдядит следующим образом: :: danny@dom.loc Поле **Область поиска** Любой LDAP запрос предполагает указание ряда параметров, в соответствии с которыми осуществляется операция поиска в LDAP-каталоге. В нашем примере, домен называется **dom.loc**, поэтому базу поиска нужно указывать как **DC=dom, DC=loc**. Поле **Контейнеры для аутентификации** В нашем случае, пользователи находятся в нескольких организационных единицах (OU). Полностью путь до пользователей в LDAP-каталоге выглядит как **OU=Users,OU=UO - LAN,DC=dom,DC=loc**. В вашем случае, путь до пользователей будет выглядеть иначе. Поле **Атрибут присвоения имени пользователю** Поле должно содержать значение **samAccountName** для доменной среды Active Directory. Включение LDAP аутентификации в веб-прокси ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Проверьте, что в настройках веб-прокси используется метод авторизации LDAP. Для этого пройдите в **Службы -> Веб-прокси -> Администрирование**, вкладка **Forward Proxy**, пункт меню **Authentication Settings**. В поле **Метод аутентификации** должен быть выбран ранее созданный LDAP-коннектор. .. image:: ../images/proxy_auth/proxy_auth_8.png :align: center |