Перейти к содержанию

Настройка аутентификации через Active Directory

Скачать документ в формате DOCX

В Системе используется Kerberos/LDAP для аутентификации через Active Directory. Для работы Kerberos-аутентификации добавьте домен, на котором развёрнута система Filestone MFT, в локальную интрасеть (рекомендуется для SSO) с помощью групповых политик.

Создание учётной записи

Для настройки аутентификации через Active Directory необходима учетная запись. Это может быть учетная запись компьютера или пользователя.

Ниже приведен пример команды, которую необходимо выполнить на контроллере домена, для создания учетной записи компьютера:

dsadd computer "CN=filestone,CN=Computers,DC=example,DC=com"

Генерация keytab-файла для учётной записи

Для аутентификации через Kerberos необходимо сгенерировать keytab-файл на контроллере домена с помощью утилиты ktpass. Ниже приведён пример команды, которую нужно выполнить в командной строке с правами администратора:

ktpass /mapuser ИМЯ_ДОМЕНА_AD\учётная_запись$ /princ HTTP/полное_имя_сервера@ПОЛНОЕ_ИМЯ_ДОМЕНА_AD ^
 /ptype KRB5_NT_SRV_HST /pass СЛУЧАЙНЫЙ_ПАРОЛЬ /crypto all /out C:\keytab.keytab +answer

ИМЯ_ДОМЕНА_AD\учётная_запись$ замените на имя учётной записи, созданной на предыдущем шаге (включая символ $, если это учётная запись компьютера). Пример: EXAMPLE\filestone$

HTTP/полное_имя_сервера@ПОЛНОЕ_ИМЯ_ДОМЕНА_AD замените на SPN (Service Principal Name), соответствующий полному доменному имени (FQDN) сервера, на котором будет развернут веб-интерфейс. Это имя может отличаться от имени учетной записи сервера. Примеры: HTTP/filestone.example.com@EXAMPLE.COM, HTTP/filestone.company-internet-domain.tld@COMPANY-AD-DOMAIN.TLD

СЛУЧАЙНЫЙ_ПАРОЛЬ замените на надёжный случайный пароль, соответствующий действующим политикам сложности паролей в домене.

Копирование keytab-файла в каталог файлов настроек Системы

Keytab-файл, полученный на предыдущем шаге, необходимо скопировать в каталог файлов настроек Системы. Каталог файлов настроек Системы по умолчанию /opt/filestone/filestone-mft/etc. Файл должен иметь имя keytab.keytab.

Настройка параметров в интерфейсе администратора Системы

После копирования keytab-файла необходимо выполнить настройку Системы на вкладке НастройкаActive directory.

Значение параметра Service Principal Name должно быть равно SPN, указанному при создании keytab-файла.