| Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия |
| product:settings:system:active_directory [26.04.2021 16:29] – [Настройка службы каталогов Active Directory на сервере с установленной Адвантой (сервер IIS)] kurtygina | product:settings:system:active_directory [09.12.2025 08:06] (текущий) – [Настройки на сервере IIS] Сердцев Сергей |
|---|
| </grid> | </grid> |
| |
| ==== Установка службы федерации Active Directory (в домене клиента) ==== | ==== Установка службы федерации Active Directory (в домене клиента, AD FS) ==== |
| |
| <callout type="primary" title="Важно!" icon="true"> | <callout type="primary" title="Важно!" icon="true"> |
| - После завершения работы мастера поставьте чек-бокс «**Когда мастер закроется, запустить оснастку управления AD FS 2.0**» для дальнейшей настройки службы. -> «Готово». | - После завершения работы мастера поставьте чек-бокс «**Когда мастер закроется, запустить оснастку управления AD FS 2.0**» для дальнейшей настройки службы. -> «Готово». |
| |
| === Windows Server 2012=== | === Windows Server 2019=== |
| - Откройте «Диспетчер серверов». | - Откройте «Диспетчер серверов». |
| - Управление -> Добавить роли и компоненты | - Управление -> Добавить роли и компоненты |
| Если этого не произошло, запустите оснастку вручную: Пуск -> Все программы -> Администрирование -> **Управление AD FS 2.0**. | Если этого не произошло, запустите оснастку вручную: Пуск -> Все программы -> Администрирование -> **Управление AD FS 2.0**. |
| |
| **Windows Server 2012:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**». | **Windows Server 2019:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**». |
| |
| - В открывшейся оснастке -> «Мастер настройки сервера федерации AD FS». | - В открывшейся оснастке -> «Мастер настройки сервера федерации AD FS». |
| |<code xml><add key="AdfsIssuer" value="https://adfs.a2test.local" /></code>|Где ''a2test'' -- название домена вашей инсталляции ADVANTA. \\ Адрес сервиса ADFS| | |<code xml><add key="AdfsIssuer" value="https://adfs.a2test.local" /></code>|Где ''a2test'' -- название домена вашей инсталляции ADVANTA. \\ Адрес сервиса ADFS| |
| |
| Также есть два дополнительных параметра: | Также есть три дополнительных параметра: |
| * ''AdfsMode'' -- режим проверки сертификата | * ''AdfsShowPII'' -- режим отображения персональной пользовательской информации в сообщениях об ошибках подключения к AD FS <code xml><add key="AdfsShowPII" value="false" /></code> |
| * по умолчанию ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов. Параметр не обязательный. Если сертификат - купленный, параметр можно не указывать. В этом случае умолчанию и будет указан данный параметр | * значение по умолчанию (или если параметр не указан) ''false'' -- информация, позволяющая идентифицировать пользователя, будет скрыта в сообщениях об ошибках |
| * можно задать режим ''Thumbprint'' -- данный режим применяется, если сертификат самозаверенный. Этот режим проверяет только даты и отпечаток сертификата, в этом режиме нужно обязательно задать следующий параметр: <code xml><add key="AdfsMode" value="Thumbprint" /></code> | * при установке значения в ''true'' -- в сообщении об ошибке подключения будут отображаться идентификационные данные. Используется при отладке и поиске проблем подключения к AD FS. В режиме промышленной эксплуатации системы параметр должен быть удален или установлен в значение ''false''! |
| * ''Thumbprint'' -- если в AdfsMode указано Thumbprint, в этом случае необходимо указать отпечаток сертификата: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток.) При этом обязательно надо указать дополнительный параметр: <code xml> <add key="AdfsThumbprint" value="0cafe3b7025e9cfe48f83f5dcdff36122c6fcbb6" > </code> | * ''AdfsMode'' -- режим проверки сертификата <code xml><add key="AdfsMode" value="Default" /></code> |
| | * по умолчанию значение (или если параметр не указан) ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов. |
| | * можно задать значение ''Thumbprint'' -- данный режим применяется, если сертификат самозаверенный. Этот режим проверяет только даты и отпечаток сертификата. |
| | * ''Thumbprint'' -- если в параметре ''AdfsMode'' указано значение ''Thumbprint'', в этом случае необходимо указать отпечаток сертификата: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток.) При этом обязательно надо указать дополнительный параметр: <code xml> <add key="AdfsThumbprint" value="0cafe3b7025e9cfe48f83f5dcdff36122c6fcbb6" /> </code> |
| <callout type="info" title="Внимание!">При копировании отпечатка через графический интерфейс, он может скопироваться с дополнительными невидимыми символами. Поэтому при копировании используйте команду ''certutil''.</callout> | <callout type="info" title="Внимание!">При копировании отпечатка через графический интерфейс, он может скопироваться с дополнительными невидимыми символами. Поэтому при копировании используйте команду ''certutil''.</callout> |
| |
| В главном разделе ''<configuration>'' после закрывающего тега ''</configSections>'' добавить следующее: | В главном разделе ''<configuration>'' после закрывающего тега ''</configSections>'' добавить следующее: |
| <code xml> | <code xml> |
| <ldapService ldapPath="LDAP://адрес сервера с AD FS/" baseDN="база поиска объектов в AD"> | <ldapService ldapPath="LDAP://адрес сервера с AD/" baseDN="база поиска объектов в AD"> |
| <authenticationTypes> | <authenticationTypes> |
| <add authenticationType="Secure" /> | <add authenticationType="Secure" /> |
| * ''baseDN'' – базовый DN каталога пользователей. | * ''baseDN'' – базовый DN каталога пользователей. |
| * Если не указан, то используется дефолтный DN, который определен в самой службе каталогов. Лучше указывать действительный DN. Например: <code>DC=domain,DC=local</code> | * Если не указан, то используется дефолтный DN, который определен в самой службе каталогов. Лучше указывать действительный DN. Например: <code>DC=domain,DC=local</code> |
| * ''authenticationTypes'' – типы аутентификации. \\ Влияют на защищенность (шифрование и подпись) передаваемых данных. \\ По умолчанию: Secure, Signing, Sealing. <callout type="info">Если в службе каталогов настроен SSL (требует установки Certification Authority), то нужно указать SecureSocketsLayer в authenticationTypes.</callout> | * ''authenticationTypes'' – типы аутентификации. \\ Влияют на защищенность (шифрование и подпись) передаваемых данных. \\ По умолчанию: Secure, Signing, Sealing. <callout type="info">Если в службе каталогов настроен SSL (требует установки Certification Authority), то нужно указать значение ''SecureSocketsLayer'' в ''authenticationTypes''.</callout> |
| |
| В раздел ''<configSections>'' добавить тег: | В раздел ''<configSections>'' добавить тег: |
| <code xml><section name="ldapService" type="Config.LDAPConfigurationSection, smcorelib" /></code> | <code xml><section name="ldapService" type="Config.LDAPConfigurationSection, smcorelib" /></code> |
| | |
| | <callout type="primary" icon="true"> Если подключение через LDAPS, то при настройке выгрузки через LDAPS необходимо указать протокол LDAP с портом 636. Секция ''authenticationTypes'' в ''client.config'' должна выглядеть следующим образом: |
| | |
| | <code xml> |
| | <ldapService ldapPath="LDAP://адрес сервера с AD:636/" baseDN="база поиска объектов в AD"> |
| | <authenticationTypes> |
| | <add authenticationType="SecureSocketsLayer" /> |
| | </authenticationTypes> |
| | </code> |
| | </callout> |
| ====Безопасность==== | ====Безопасность==== |
| |
| |
| <callout type="info" icon="true">Если сервер с системой не включен в домен, при нажатии кнопки «Загрузить из Active Directory» возникнет ошибка подключения к Active Directory. В этом случае необходимо нажать кнопку «учетная запись» и ввести в появившемся окне логин и пароль доменного пользователя. Логин должен вводиться в формате ''domain\user'' или ''user@domain.local''.</callout> | <callout type="info" icon="true">Если сервер с системой не включен в домен, при нажатии кнопки «Загрузить из Active Directory» возникнет ошибка подключения к Active Directory. В этом случае необходимо нажать кнопку «учетная запись» и ввести в появившемся окне логин и пароль доменного пользователя. Логин должен вводиться в формате ''domain\user'' или ''user@domain.local''.</callout> |
| ===== Мультидоменность ===== | |
| | <callout type="primary" icon="true">Если в последующем возникнет потребность протокол авторизации поменять с AD FS на NTLM, необходимо после внесения изменений произвести перезагрузку сервера приложения ADVATNA, чтобы изменения вступили в силу.</callout> |
| | ===== Мультидоменность (NTLM) ===== |
| <callout type="danger" title="ВНИМАНИЕ!" icon="true">Использование зарезервированных символов XML в конфигурационном файле запрещено (& "<'>).</callout> | <callout type="danger" title="ВНИМАНИЕ!" icon="true">Использование зарезервированных символов XML в конфигурационном файле запрещено (& "<'>).</callout> |
| <callout type="success" icon="fa fa-user">Мультидоменная авторизация позволяет проводить аутентификацию пользователей с помощью Active Directory, находящихся в различных доменах внутри организации. При этом **необходимо, чтобы сервер с системой находился в корневом домене**, а также наличие двусторонних транзитивных отношений между корневым и остальными доменами. | <callout type="success" icon="fa fa-user">Мультидоменная авторизация позволяет проводить аутентификацию пользователей с помощью Active Directory, находящихся в различных доменах внутри организации. При этом **необходимо, чтобы сервер с системой находился в корневом домене**, а также наличие двусторонних транзитивных отношений между корневым и остальными доменами. |
| </panel> | </panel> |
| |
| <panel title="Windows Server 2012:"> | <panel title="Windows Server 2019:"> |
| - Открыть диспетчер серверов. | - Открыть диспетчер серверов. |
| - «Управление» -> «Добавить роли и компоненты». | - «Управление» -> «Добавить роли и компоненты». |
| </panel> | </panel> |
| |
| После установки службы «Windows - проверка подлинности» откройте Диспетчер служб IIS: | После установки службы «Windows - проверка подлинности» выполните полный __перезапуск сервера__ с IIS |
| | После выполнения перезапуска откройте Диспетчер служб IIS: |
| - Перейти в раздел «Сайты» -> Default Web Site (сайт с установленной системой). | - Перейти в раздел «Сайты» -> Default Web Site (сайт с установленной системой). |
| - Затем перейти в подраздел «Проверка подлинности» (в области просмотра возможностей). | - Затем перейти в подраздел «Проверка подлинности» (в области просмотра возможностей). |