Различия

Показаны различия между двумя версиями страницы.

--- product:settings:system:active_directory [28.09.2023 15:22] – [Настройка службы каталогов Active Directory на сервере с установленной Адвантой (сервер IIS)] Белугин Александр
+++ product:settings:system:active_directory [09.12.2025 08:06] (текущий) – [Настройки на сервере IIS] Сердцев Сергей
@@ Строка 43: / Строка 43: @@
   - После завершения работы мастера поставьте чек-бокс «**Когда мастер закроется, запустить оснастку управления AD FS 2.0**» для дальнейшей настройки службы. -> «Готово».
-=== Windows Server 2012===
+=== Windows Server 2019===
   - Откройте «Диспетчер серверов».
   - Управление -> Добавить роли и компоненты
@@ Строка 77: / Строка 77: @@
 Если этого не произошло, запустите оснастку вручную: Пуск -> Все программы -> Администрирование -> **Управление AD FS 2.0**.
-**Windows Server 2012:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**».
+**Windows Server 2019:** В диспетчере серверов нажмите на значок уведомлений (флаг с восклицательным знаком в треугольнике) -> в окне «Конфигурация после развертывания» клик на «**Запустить оснастку управления AD FS**».
   - В открывшейся оснастке -> «Мастер настройки сервера федерации AD FS».
@@ Строка 127: / Строка 127: @@
   * ''AdfsShowPII'' -- режим отображения персональной пользовательской информации в сообщениях об ошибках подключения к AD FS <code xml><add key="AdfsShowPII" value="false" /></code>
     * значение по умолчанию (или если параметр не указан) ''false'' -- информация, позволяющая идентифицировать пользователя, будет скрыта в сообщениях об ошибках
-    * при установке значения в ''true'' -- в сообщении об ошибке подключения будет отображаться идентификационные данные. Используется при отладке и поиске проблем подключения. В режиме промышленной эксплуатации параметр должен быть удален или установлен в значение ''false''!
+    * при установке значения в ''true'' -- в сообщении об ошибке подключения будут отображаться идентификационные данные. Используется при отладке и поиске проблем подключения к AD FS. В режиме промышленной эксплуатации системы параметр должен быть удален или установлен в значение ''false''!
   * ''AdfsMode'' -- режим проверки сертификата <code xml><add key="AdfsMode" value="Default" /></code>
-    * по умолчанию значение ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов. Параметр не обязательный.
+    * по умолчанию значение (или если параметр не указан) ''Default'' -- строгий режим, который проверяет всю цепочку сертификатов.
     * можно задать значение ''Thumbprint'' -- данный режим применяется, если сертификат самозаверенный. Этот режим проверяет только даты и отпечаток сертификата.
+  * ''Thumbprint'' -- если в параметре ''AdfsMode'' указано значение ''Thumbprint'', в этом случае необходимо указать отпечаток сертификата: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток.) При этом обязательно надо указать дополнительный параметр: <code xml> <add key="AdfsThumbprint" value="0cafe3b7025e9cfe48f83f5dcdff36122c6fcbb6" /> </code>
-  * ''Thumbprint'' -- если в AdfsMode указано ''Thumbprint'', в этом случае необходимо указать отпечаток сертификата: оснастка AD FS → Сертификаты (Service communications) → CN=ServerADFS.your.domain.local → Состав → Отпечаток.) При этом обязательно надо указать дополнительный параметр: <code xml> <add key="AdfsThumbprint" value="0cafe3b7025e9cfe48f83f5dcdff36122c6fcbb6" /> </code>
  <callout type="info" title="Внимание!">При копировании отпечатка через графический интерфейс, он может скопироваться с дополнительными невидимыми символами. Поэтому при копировании используйте команду ''certutil''.</callout>
@@ Строка 158: / Строка 157: @@
 В раздел ''<configSections>'' добавить тег:
 <code xml><section name="ldapService" type="Config.LDAPConfigurationSection, smcorelib" /></code>
+<callout type="primary" icon="true"> Если подключение через LDAPS, то при настройке выгрузки через LDAPS необходимо указать протокол LDAP с портом 636. Секция ''authenticationTypes'' в ''client.config'' должна выглядеть следующим образом:
+<code xml>
+<ldapService ldapPath="LDAP://адрес сервера с AD:636/" baseDN="база поиска объектов в AD">
+<authenticationTypes>
+      <add authenticationType="SecureSocketsLayer" />
+</authenticationTypes>
+</code>
+</callout>
 ====Безопасность====
@@ Строка 190: / Строка 199: @@
 <callout type="info" icon="true">Если сервер с системой не включен в домен, при нажатии кнопки «Загрузить из Active Directory» возникнет ошибка подключения к Active Directory. В этом случае необходимо нажать кнопку «учетная запись» и ввести в появившемся окне логин и пароль доменного пользователя. Логин должен вводиться в формате ''domain\user'' или ''user@domain.local''.</callout>
+<callout type="primary" icon="true">Если в последующем возникнет потребность протокол авторизации поменять с AD FS на NTLM, необходимо после внесения изменений произвести перезагрузку сервера приложения ADVATNA, чтобы изменения вступили в силу.</callout>
 ===== Мультидоменность (NTLM) =====
 <callout type="danger" title="ВНИМАНИЕ!" icon="true">Использование зарезервированных символов XML в конфигурационном файле запрещено (& "<'>).</callout>
@@ Строка 211: / Строка 220: @@
 </panel>
-<panel title="Windows Server 2012:">
+<panel title="Windows Server 2019:">
   - Открыть диспетчер серверов.
   - «Управление» -> «Добавить роли и компоненты».
@@ Строка 222: / Строка 231: @@
 </panel>
-После установки службы «Windows - проверка подлинности» откройте Диспетчер служб IIS:
+После установки службы «Windows - проверка подлинности» выполните полный __перезапуск сервера__ с IIS
+После выполнения перезапуска откройте Диспетчер служб IIS:
   - Перейти в раздел «Сайты» -> Default Web Site (сайт с установленной системой).
   - Затем перейти в подраздел «Проверка подлинности» (в области просмотра возможностей).