Различия

Показаны различия между двумя версиями страницы.

--- product:settings:system:active_directory [16.02.2021 06:59] – shihalev
+++ product:settings:system:active_directory [09.12.2025 08:06] (текущий) – [Настройки на сервере IIS] Сердцев Сергей
@@ Строка 28: / Строка 28: @@
 </grid>
-==== Установка службы федерации Active Directory (в домене клиента) ====
+==== Установка службы федерации Active Directory (в домене клиента, AD FS) ====
 <callout type="primary" title="Важно!" icon="true">
@@ Строка 43: / Строка 43: @@
   - После завершения работы мастера поставьте чек-бокс «**Когда мастер закроется, запустить оснастку управления AD FS 2.0**» для дальнейшей настройки службы. -> «Готово».
-=== Windows Server 2012===
+=== Windows Server 2019===
   - Откройте «Диспетчер серверов».
   - Управление -> Добавить роли и компоненты
@@ Строка 77: / Строка 77: @@
 Если этого не произошло, запустите оснастку вручную: Пуск -> Все программы -> Администрирование -> **Управление AD FS 2.0**.
-**Windows Server 2012:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**».
+**Windows Server 2019:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**».
   - В открывшейся оснастке -> «Мастер настройки сервера федерации AD FS».
@@ Строка 124: / Строка 124: @@
 |<code xml><add key="AdfsIssuer" value="https://adfs.a2test.local" /></code>|Где ''a2test'' -- название домена вашей инсталляции ADVANTA.  \\  Адрес сервиса ADFS|
-Также есть два дополнительных параметра:
+Также есть три дополнительных параметра:
-  * ''AdfsMode'' -- режим проверки сертификата
+  * ''AdfsShowPII'' -- режим отображения персональной пользовательской информации в сообщениях об ошибках подключения к AD FS <code xml><add key="AdfsShowPII" value="false" /></code>
-    * по умолчанию ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов,
+    * значение по умолчанию (или если параметр не указан) ''false'' -- информация, позволяющая идентифицировать пользователя, будет скрыта в сообщениях об ошибках
-    * можно задать режим ''Thumbprint'' -- этот режим проверяет только даты и отпечаток сертификата, в этом режиме нужно обязательно задать следующий параметр;<code xml><add key="AdfsMode" value="Thumbprint" /></code>
+    * при установке значения в ''true'' -- в сообщении об ошибке подключения будут отображаться идентификационные данные. Используется при отладке и поиске проблем подключения к AD FS. В режиме промышленной эксплуатации системы параметр должен быть удален или установлен в значение ''false''!
-  * ''Thumbprint'' -- отпечаток сертификата, находится на сервере службы федерации Active Directory: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток. <callout type="info" title="Внимание!">При копировании отпечатка через графический интерфейс, он может скопироваться с дополнительными невидимыми символами. Поэтому при копировании используйте команду ''certutil''.</callout>
+  * ''AdfsMode'' -- режим проверки сертификата <code xml><add key="AdfsMode" value="Default" /></code>
+    * по умолчанию значение (или если параметр не указан) ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов.
+    * можно задать значение ''Thumbprint'' -- данный режим применяется, если сертификат самозаверенный. Этот режим проверяет только даты и отпечаток сертификата.
+  * ''Thumbprint'' -- если в параметре ''AdfsMode'' указано значение ''Thumbprint'', в этом случае необходимо указать отпечаток сертификата: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток.) При этом обязательно надо указать дополнительный параметр: <code xml> <add key="AdfsThumbprint" value="0cafe3b7025e9cfe48f83f5dcdff36122c6fcbb6" /> </code>
+ <callout type="info" title="Внимание!">При копировании отпечатка через графический интерфейс, он может скопироваться с дополнительными невидимыми символами. Поэтому при копировании используйте команду ''certutil''.</callout>
@@ Строка 138: / Строка 142: @@
 В главном разделе ''<configuration>'' после закрывающего тега ''</configSections>'' добавить следующее:
 <code xml>
-<ldapService ldapPath="LDAP://адрес сервера с AD FS/" baseDN="база поиска объектов в AD">
+<ldapService ldapPath="LDAP://адрес сервера с AD/" baseDN="база поиска объектов в AD">
   <authenticationTypes>
      <add authenticationType="Secure" />
@@ Строка 149: / Строка 153: @@
   * ''baseDN'' – базовый DN каталога пользователей.
     * Если не указан, то используется дефолтный DN, который определен в самой службе каталогов. Лучше указывать действительный DN. Например: <code>DC=domain,DC=local</code>
-  * ''authenticationTypes'' – типы аутентификации.  \\  Влияют на защищенность (шифрование и подпись) передаваемых данных.  \\ По умолчанию: Secure, Signing, Sealing. <callout type="info">Если в службе каталогов настроен SSL (требует установки Certification Authority), то нужно указать SecureSocketsLayer в authenticationTypes.</callout>
+  * ''authenticationTypes'' – типы аутентификации.  \\  Влияют на защищенность (шифрование и подпись) передаваемых данных.  \\ По умолчанию: Secure, Signing, Sealing. <callout type="info">Если в службе каталогов настроен SSL (требует установки Certification Authority), то нужно указать значение ''SecureSocketsLayer'' в ''authenticationTypes''.</callout>
 В раздел ''<configSections>'' добавить тег:
 <code xml><section name="ldapService" type="Config.LDAPConfigurationSection, smcorelib" /></code>
+<callout type="primary" icon="true"> Если подключение через LDAPS, то при настройке выгрузки через LDAPS необходимо указать протокол LDAP с портом 636. Секция ''authenticationTypes'' в ''client.config'' должна выглядеть следующим образом:
+<code xml>
+<ldapService ldapPath="LDAP://адрес сервера с AD:636/" baseDN="база поиска объектов в AD">
+<authenticationTypes>
+      <add authenticationType="SecureSocketsLayer" />
+</authenticationTypes>
+</code>
+</callout>
 ====Безопасность====
@@ Строка 184: / Строка 198: @@
 <callout type="info" icon="true">Если сервер с системой не включен в домен, при нажатии кнопки «Загрузить из Active Directory» возникнет ошибка подключения к Active Directory. В этом случае необходимо нажать кнопку «учетная запись» и ввести в появившемся окне логин и пароль доменного пользователя. Логин должен вводиться в формате ''domain\user'' или ''user@domain.local''.</callout>
-===== Мультидоменность =====
+<callout type="primary" icon="true">Если в последующем возникнет потребность протокол авторизации поменять с AD FS на NTLM, необходимо после внесения изменений произвести перезагрузку сервера приложения ADVATNA, чтобы изменения вступили в силу.</callout>
+===== Мультидоменность (NTLM) =====
 <callout type="danger" title="ВНИМАНИЕ!" icon="true">Использование зарезервированных символов XML в конфигурационном файле запрещено (& "<'>).</callout>
 <callout type="success" icon="fa fa-user">Мультидоменная авторизация позволяет проводить аутентификацию пользователей с помощью Active Directory, находящихся в различных доменах внутри организации. При этом **необходимо, чтобы сервер с системой находился в корневом домене**, а также наличие двусторонних транзитивных отношений между корневым и остальными доменами.
@@ Строка 204: / Строка 220: @@
 </panel>
-<panel title="Windows Server 2012:">
+<panel title="Windows Server 2019:">
   - Открыть диспетчер серверов.
   - «Управление» -> «Добавить роли и компоненты».
@@ Строка 215: / Строка 231: @@
 </panel>
-После установки службы «Windows - проверка подлинности» откройте Диспетчер служб IIS:
+После установки службы «Windows - проверка подлинности» выполните полный __перезапуск сервера__ с IIS
+После выполнения перезапуска откройте Диспетчер служб IIS:
   - Перейти в раздел «Сайты» -> Default Web Site (сайт с установленной системой).
   - Затем перейти в подраздел «Проверка подлинности» (в области просмотра возможностей).