Аутентификация с помощью Active Directory

Некоторое время назад я писАл о расширении оболочки ADUC для получении имени зарегистрированного на компьютере пользователя. На этот раз публикую скрипт на PowerShell 2.0 для задания описаний компьютеров в AD на основании имени текущегозарегистрированного на нём пользователя и его номера телефона. Для снижения таймаута WMI взята и немного доработана конструкция Test-Host, благодаря чему достигается достаточно высокая скорость работы.

Преимущества Active Directory/LDAP в ВКС?

Во время сеанса видеоконференции участники могут быть «разбросаны» по разным местам (разные города, страны и даже континенты). Число пользователей может варьироваться от единиц до нескольких сотен. Active Directory/LDAP значительно облегчает работу администратора, который занимается обслуживанием каталога корпоративных пользователей. Подключение протокола LDAP к серверу избавляет администратора от повторного заведения записей, что значительно экономит его время. Пользователи, в свою очередь, избавляются от сеанса повторной авторизации. Active Directory/LDAP даёт возможность использовать на ВКС терминале существующий механизм авторизации, без необходимости повторного ввода своего логина и пароля вначале работы. Если протокол LDAP будет использоваться в локальной сети, пользователь сможет подключаться и аутентифицироваться на любом компьютере, который входит в корпоративную сеть.

Active Directory описание

Active Directory — это хранилище данных об объектах сети, имеющее иерархическую структуру. AD содержит централизованный список всех пользователей и групп в сети, называемый domain. Это значительно облегчает работу администратором, так как при регистрации учетной записи нового пользователя эти данные передаются сразу всем серверам, находящимся в домене. Каждый домен имеет уникальное DNS-имя, а их совокупность называют лесом. Узнать подробнее о возможностях AD можно по ссылке.

Отдельное внимание обратим на схемы Active Directory. В них хранятся определения для каждого класса объектов и атрибуты. То есть конфигурационная информация, которая управляет структурой и содержимым каталога. В роли хозяина схемы выступает контроллер домена. Из всего леса выбирается только один domain controller, который будет обладать полномочиями, позволяющими изменять схемы (например, добавлять атрибуты, свойства).

Он должен быть хорошо защищен, так как если к нему получит доступ посторонний, то под угрозой будет не только оборудование компании и учетные записи пользователей, но и инсайдерская информация. В случае выхода его из строя AD продолжит нормально функционировать, однако изменять схемы вы не сможете, поэтому рекомендуется разворачивать дополнительно один и более контроллеров домена.

Подключение консоли ADUC к домену из рабочей группы

Если вы хотите подключится консолью ADUC к контроллеру домена с машины, которая не включена в домен (состоит в рабочей группе, или стоит домашняя версия Windows), воспользуйтесь таким методом:

  1. Запустите командную строку и выполните команду запуска остастки от имени другого пользователя: runas /netonly /user:winitproaaivanov mmc
  2. В пустой консоли MMC выберите File->Add/Remove Snap-In
  3. Перенесите оснастку Active Directory Users and Computers в правую панель и нажмите
  4. Чтобы подключится к домену, щелкните по корню консоли и выберите Change domain. Укажите имя домена.

В результате консоль ADUC подключится к контроллеру домена, получит и  отобразит структуру контейнеров (OU) данного домена Active Directory.

  • Десять команд PowerShell, которые должен знать каждый администратор Windows

Одним из основных инструментов управления доменами Active Directory является оснастка «Active Directory — пользователи и компьютеры» Active Directory (ADUC).

Адаптер ADUC используется для выполнения типичных задач администрирования домена и управления пользователями, группами, компьютерами и организационными подразделениями в домене Active Directory.

По умолчанию консоль Active Directory — пользователи и компьютеры () установлена на сервере, когда она продвигается на контроллер домена во время выполнения  роли доменных служб Active Directory (AD DS).

Чтобы использовать оснастку ADUC в Windows 10, сначала необходимо установить Microsoft Remote Server Administration Tools (RSAT).

RSAT включает в себя различные инструменты командной строки, модули PowerShell и оснастки для удаленного управления серверами Windows, Active Directory и другими ролями и функциями Windows, которые работают на серверах Windows.

Как установить Active Directory — пользователи и компьютеры на Windows 10?

По умолчанию RSAT не установлен в Windows 10 (и других настольных операционных системах Windows).

Средства удаленного администрирования сервера (RSAT) позволяют ИТ-администраторам удаленно управлять ролями и компонентами в Windows Server 2016, 2012 R2, 2012, 2008 R2 с рабочих станций пользователей под управлением Windows 10, 8.1, 8 и Windows 7.

RSAT напоминает средства администрирования Windows Server 2003 Pack (), который был установлен на клиентах под управлением Windows 2000 или Windows XP и использовался для удаленного управления сервером. RSAT не может быть установлен на компьютерах с домашними выпусками Windows.

  • Форумы

Чтобы установить RSAT, у вас должна быть профессиональная или корпоративная версия Windows 10.

Вы можете загрузить последнюю версию средств удаленного администрирования сервера для Windows 10 (Версия: 1803 1.0, Дата публикации: 5/2/2018), используя следующую ссылку: -us/download/details .aspx? ID = 45520

Совет. Как вы можете видеть, пакет RSAT доступен для последней версии Windows 10 1803.

WindowsTH-RSAT_WS_1709 и WindowsTH-RSAT_WS_1803 используются для управления Windows Server 2016 1709 и 1803 соответственно.

Подключение консоли ADUC к домену из рабочей группы

Если вы используете предыдущую версию Windows Server 2016 или Windows Server 2012 R2 / 2012/2008 R2, вам необходимо использовать пакет WindowsTH-RSAT_WS2016.

Выберите язык вашей версии Windows 10 и нажмите кнопку «Download».

В зависимости от битности вашей ОС выберите нужный файл * .msu:

  • Для Windows 10 x86 — загрузите WindowsTH-RSAT_ (69.5 MB);
  • Для Windows 10 x64 — загрузите WindowsTH-RSAT_ (92.3 MB);
  • CredSSP encryption oracle remediation – ошибка при подключении по RDP к виртуальному серверу (VPS / VDS)
Подключение консоли ADUC к домену из рабочей группы

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

Установите загруженный файл (Обновление для Windows KB2693643), дважды щелкнув по нему.

c:InstallWindowsTH-RSAT_ /quiet /norestart

После завершения установки RSAT вам необходимо перезагрузить компьютер.

Создайте федерацию в облаке

Консоль управления CLI API

Чтобы создать федерацию в IAM:

  1. Откройте страницу каталога в консоли управления.

  2. В меню слева выберите вкладку Федерации.

  3. Нажмите Создать федерацию.

  4. Задайте имя федерации. Имя должно быть уникальным в каталоге.

  5. При необходимости добавьте описание.

  6. В поле Время жизни cookie укажите время, в течении которого браузер не должен требовать у пользователя повторной аутентификации.

  7. В поле IdP Issuer укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

  8. В поле SSO метод выберите POST.

  9. В поле Ссылка на страницу для входа в IdP укажите ссылку в формате https://[ADFS]/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

  10. Включите опцию Автоматически создавать пользователей, чтобы аутентифицированный пользователь автоматически добавлялся в облако. Эта опция упрощает процесс заведения пользователей, но созданному таким образом пользователю по умолчанию назначается только роль : он не сможет выполнять никаких операций с ресурсами в этом облаке. Исключение — те ресурсы, на которые назначены роли системной группе allUsers или allAuthenticatedUsers.

    Если эту опцию не включать, то пользователь, которого не добавили в облако, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять белым списком пользователей, которым разрешено пользоваться ресурсами

Если у вас еще нет интерфейса командной строки , установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Посмотрите описание команды создания федерации:

    $ yc iam federation create --help

  2. Создайте федерацию:

    $ yc iam federation create --name my-federation \ --auto-create-account-on-login \ --cookie-max-age 12h \ --issuer "" \ --sso-binding POST \ --sso-url ""

    Где:

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • auto-create-account-on-login — флаг, активирующий автоматическое создание новых пользователей в облаке после аутентификации на IdP-сервере. Эта опция упрощает процесс заведения пользователей, но созданному таким образом пользователю по умолчанию назначается только роль : он не сможет выполнять никаких операций с ресурсами в этом облаке. Исключение — те ресурсы, на которые назначены роли системной группе allUsers или allAuthenticatedUsers.

      Если эту опцию не включать, то пользователь, которого не добавили в облако, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять белым списком пользователей, которым разрешено пользоваться ресурсами

    • cookie-max-age — время, в течении которого браузер не должен требовать у пользователя повторной аутентификации.

    • issuer — идентификатор IdP-сервера, на котором должна происходить аутентификация.

      Укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    • sso-url — URL-адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

      Укажите ссылку в формате https://[ADFS]/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

    • sso-binding — укажите тип привязки для Single Sign-on. Большинство поставщиков поддерживают тип привязки POST.

  1. Получите идентификатор каталога, в котором вы будете создавать федерацию.

  2. Создайте файл с телом запроса, например :

    { "folderId": "<ID каталога>", "name": "my-federation", "autocreateUsers": true, "cookieMaxAge":"43200s", "issuer": "", "ssoUrl": "", "ssoBinding": "POST" }

    Где:

    • folderId — идентификатор каталога.

    • name — имя федерации. Имя должно быть уникальным в каталоге.

    • autocreateUsers — флаг, активирующий автоматическое создание новых пользователей в облаке после аутентификации на IdP-сервере. Эта опция упрощает процесс заведения пользователей, но созданному таким образом пользователю по умолчанию назначается только роль : он не сможет выполнять никаких операций с ресурсами в этом облаке. Исключение — те ресурсы, на которые назначены роли системной группе allUsers или allAuthenticatedUsers.

      Если эту опцию не включать, то пользователь, которого не добавили в облако, не сможет войти в консоль управления, даже если пройдет аутентификацию на вашем сервере. В этом случае вы можете управлять белым списком пользователей, которым разрешено пользоваться ресурсами

    • cookieMaxAge — время, в течении которого браузер не должен требовать у пользователя повторной аутентификации.

    • issuer — идентификатор IdP-сервера, на котором должна происходить аутентификация.

      Укажите ссылку в формате http://<ADFS>/adfs/services/trust, где <ADFS> — это FQDN вашего AD FS сервера.

    • ssoUrl — URL-адрес страницы, на которую браузер должен перенаправить пользователя для аутентификации.

      Укажите ссылку в формате https://[ADFS]/adfs/ls/, где <ADFS> — это FQDN вашего AD FS сервера.

    • ssoBinding — укажите тип привязки для Single Sign-on. Большинство поставщиков поддерживают тип привязки POST.

  3. Создайте федерацию с помощью метода create:

    $ curl -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer <IAM-токен>" \ -d '@' \ { "done": true, "metadata": { "@type": "", "federationId": "ajeobmje4dgj0belagb9" }, ...

    В ответе, в свойстве federationId, будет указан идентификатор созданной федерации, сохраните его. Этот идентификатор понадобится на следующих шагах.

Для чего вы можете использовать Active Directory — пользователи и компьютеры?

Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.

Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.

  1. Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
  2. Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
  3. Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора. Существуют такие виды содержимого реплик:

  • Реплики данных создаются из всех существующих доменов.
  • Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
  • Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Adblock
detector