Настройка синхронизации Ideco ICS с Active Directory или LDAP сервером
Важно. Данный функционал рекомендуется только для ВУЗ-ов, гостиниц и тому подобное, но не для провайдеров.
Эта операция выполняется для того, чтобы импортировать сущестующую базу пользователей с контроллера домена, пароли при этом будут храниться на сервере AD, а при авторизации Ideco будет их оттуда запрашивать. В качестве примера рассмотрим контроллер домена, имеющий следующую структуру дерева пользователей:
Для того чтобы осуществить авторизацию пользователей через LDAP сервер либо службу Active Directory необходимо произвести следующие операции:
1. В локальной консоли в разделе "Конфигурирование сервера" - "Конфигурирование сети" установить флажок "[X] Включить авторизацию через LDAP/AD".
"[X] Включить авторизацию VPN/PPPoE через домен" ставиться только в том случае, когда для пользователей, импортированных из AD, планируется авторизация по VPN.
2. Произвести мягкую перезагрузку.
3. Подключиться к веб-интерфейсу.
4. Создать новую группу пользователей. В параметрах группы установить флажок "Синхронизация с LDAP/AD".
5. Нажать на кнопку "Настройки LDAP/AD …"
Установить параметры:
- "IP адрес сервера LDAP/AD" – указать IP адрес контроллера домена
- "Доменное имя" – указать DNS имя домена. Контроллер домена обычно имеет имя "имя.имя домена". Необходимо указать имя домена без имени контроллера.
- "LDAP группа" – указать название папки в LDAP дереве. Для Windows, обычно "Users"
- "Windows группа" – указать название Группы пользователей Windows, пользователи которой должны выходить в Интернет с помощью Ideco ICS. Если такая группа не создана, то оставить это поле пустым. В этом случае будут синхронизироваться все пользователи из папки "LDAP группа"(в нашем примере Windows группа не используется).
- "Пользователь" и "пароль пользователя" – указать логин и пароль для подключения к LDAP серверу. От имени этого пользователя должна быть доступна на чтение "LDAP группа"
- "Включить сервер в домен" - галочка нужна только в том случае если будет использоваться авторизация по VPN.
- Нажать на кнопку "Проверить". Будет произведено тестовое подключение к серверу и проверка пароля.
- Нажать ОК.
6. Выбрать в дереве пользователей созданную папку и выбрать меню "Действия" - "Обновить". В папке должны появиться пользователи, загруженные из LDAP. Если число пользователей очень большое, то обновление может занять некоторое время. Если пользователей больше 1000, то необходимо разделить их на отдельные группы.
7. Настроить параметры пользователей, если это требуется.
Более подробно процесс синхронизации с AD показан на одном из наших семинаров:
Специальный проигрыватель - http://www.ideco-software.ru/download/seminars/NV_NetPlayer.exe
Файл записи – http://www.ideco-software.ru/download/seminars/2009_06_23.zip
Примечание: "Windows группа" при синхронизации используется только тогда, когда необходимо из LDAP группы (на языке AD - Контейнер или Organizational Units) импортировать только часть пользователей, обьединённых в группу.