Page tree
Skip to end of metadata
Go to start of metadata

Для корректной работы интеграции нужно обеспечить следующие условия:

  1. Время на всех машинах, которые участвуют в интеграции (в т.ч. и клиентские машины), должно быть синхронизировано. Разница не должна превышать 5 минут (требование для работы kerberos);
  2. В сети работает один или несколько DNS-серверов, которые доступны всем участникам интеграции (требование для работы kerberos).

Настройка включает в себя следующие этапы:

1. В веб-интерфейсе в разделе "Настройки - Сетевые настройки" нужно указать основным DNS сервер, на котором в зоне прямого просмотра должна быть A-запись о контролере домена, с которым необходима интеграция, чтобы система могла обнаружить контролер домена, и работал Kerberos.

2. В веб-интерфейсе перейти в Интеграции -> Active Directory и нажать кнопку Добавить для добавления нового домена. При этом указать:

  • Домен, с которым происходит интеграция (например domain.com);
  • Имя компьютера для Selecta в домене (например ideco-selecta);
  • Логин и пароль пользователя AD с правами ввода машины в домен.

Нажать Ввести в домен:

3. На контроллере домена создать в DNS A-запись для Selecta:

4. После добавления домена на этой же странице появится раздел Профили фильтрации групп безопасности, в котором нужно нажать кнопку Обновить для импорта групп из AD. Получив список групп, здесь же нужно назначить на них профили для фильтрации, после чего нажать Сохранить:

5. На клиентские машины необходимо скачать и установить Ideco Agent, ссылка на него доступна на странице с общим списком доменов:

 

Агент может быть также установлен через групповую политику. В любом случае после установки необходимо перезагрузить клиентскую машину. После перезагрузки агент автоматически запустится, и пользователь будет авторизован.

Для каждого домена используется отдельный экземпляр агента.

6. Если пользователь, из под которого запущен агент является доменным, то авторизация должна произойти автоматически. Если пользователь локальный - то покажется окно ввода логина и пароля, куда нужно ввести логин и пароль пользователя AD.

Настройка выгрузки групп безопасности и пользователей из конкретного OU:

Для того, чтобы в разделе "Профили фильтрации групп безопасности" были выведены группы безопасности только из определенного OU, необходимо в разделе "Настройки подключения" указать контролер домена и OU для загрузки групп безопасности, после чего нажать "Сохранить и показать":

 

Таким образом, в профилях фильтрации будут выгружены группы безопасности из указанного и вложенных в него OU:

В этом можно убедиться, посмотрев группы в ADUC:

Для того, чтобы выгрузить группы безопасности только из вложенной OU, необходимо в разделе "Настройки подключения" в поле "OU для загрузки групп безопасности" указать имя вышестоящей OU и вложенной через ",":

Таким образом, в профилях фильтрации будут выгружены группы безопасности только из вложенной OU:

В этом можно убедиться, посмотрев группы в ADUC:

Настройка выгрузки информации о пользователях из определенной OU аналогична настройке выгрузки групп. В этом случае нужно изменить значение поля "OU для загрузки пользователей". Ниже пример настройки выгрузки информации о пользователе из вложенной OU:

Такой пользователь действительно есть в AD:

Настройка отображения групп по шаблону

Можно также выводить группы, содержащие определенные слова в названии. Для этого нужно заполнить поле "Показывать группу по шаблону". Можно выполнить вывод групп по словесной маске, используя символ "*" до/после слова:

Как видим, в вывод попали только группы, соответствующие словесной маске. Убедимся в этом:

  • No labels