Управление пользователями на базе ОС может быть активировано из Панели управления пользователями «КАСКАД Цифра». Это означает, что для пользователей используются группы из Active Directory Windows или Linux.
Управление пользователями на базе ОС не зависит от платформы и обеспечивает централизованное управление всеми пользователями и их полномочиями. С помощью управления пользователями на базе ОС вы можете, например, запросить пользователей Windows Active Directory, находясь под Linux.
Активация Управление пользователями на базе ОС для системы Windows или Linux является распространенным выбором, чтобы избежать проблем, вызванных слабым паролем. В системе Windows эта функция нуждается в работающем активном каталоге (Active Directory) и конфигурации SAMBA4 в системах Linux.
ОС позволяет использовать обязательные требования к надежности пароля, которые можно настроить с помощью редактора групповой политики. С помощью принудительных настроек можно обеспечить хороший и надежный пароль для пользователей. Это защищает проект от использования слабых паролей.
Внешний аутентификационный механизм, наряду со стойкостью паролей, должен обеспечивать синхронизацию пользователей в пределах домена. Это облегчает запуск проекта «КАСКАД Цифра», работающий на хосте в том же домене.
Полномочия групп всегда определяются на уровне приложения «КАСКАД Цифра». Более детальная информация представлена в разделе «Группы». При управлении пользователями на базе ОС (в отличие от управления пользователями на уровне системы «КАСКАД Цифра») отсутствует возможность добавления или удаления пользователей или групп на уровне «КАСКАД Цифра».
Когда пользователь входит в систему, система проверяет, известен ли он в системе.
В том случае, если пользователь существует в «КАСКАД Цифра», но не существует в домене, пользователь удаляется из системы «КАСКАД Цифра» (исключение — пользователь «root»). При аутентификации пользователей используются только серверы домена Windows; локальные пользователи и группы не учитываются.
Когда пользователь входит в «КАСКАД Цифра» и не все группы пользователя существуют в «КАСКАД Цифра», автоматически создаются отсутствующие группы пользователя из Windows/Linux.
В Linux для аутентификации используются подключаемые методы аутентификации PAM. PAM поддерживает вход в систему локальных пользователей из системы Linux, а также настроенных пользователей из домена Active Directory. PAM предоставляет независимые методы аутентификации, такие как LDAP, Winbind. О том, как настроить модель библиотеки PAM, см. описание в конце этой главы.
Рисунок: Использование PAM
Ниже приводится описание действий, необходимых для активации Управления пользователями на базе ОС, для чтения списка групп из ОС, а также для входа в систему «КАСКАД Цифра».
ВНИМАНИЕ
Лицензия «Para remote» не может быть использована, если вы используете управление на базе ОС, и ваш компьютер не является членом Active Directory (AD), к которому подключены серверы. Обратите внимание также, что удаленный пользовательский интерфейс не может перейти в режим управления пользователями на базе ОС, если компьютер, на котором работает удалённый интерфейс, не является частью AD.
ВНИМАНИЕ
Если Active directory находится в автономном режиме или недоступен, вход в систему с пользователем домена Windows больше невозможен!
Однократная идентификация (Single Sign On)
При активированной однократной идентификации (Single Sign On) при запуске менеджера пользовательского интерфейса, открывающего панель входа в систему, ввод имени пользователя и пароля не требуется, вход в систему выполняется автоматически и только один раз. При этом для входа в систему используются учетные данные пользователя из ОС.
ВНИМАНИЕ
В случае совпадения имени системы рабочей станции и Active Directory, при использовании однократной идентификации возможны ошибки авторизации.
Изменения аутентификации в Active Directory также обновляются в «КАСКАД Цифра», если скрипт «updateUserGroups.ctl» (C:\Sybcom\Automation\KASKAD\<version>\scripts) выполняется на сервере. Если, например, группы пользователя изменяются в Active Directory, эти изменения автоматически обновляются в базе данных «КАСКАД Цифра». Изменения автоматически обновляются для всех (активных) пользователей в базе данных «КАСКАД Цифра» после входа пользователя в систему. Кроме того, можно использовать механизм циклического обновления (см. описание конфигурационной записи checkADAuthIntervall). По умолчанию период обновления составляет 60 минут. Пользователь должен иметь право запрашивать информацию о пользователе AD у других пользователей.
Активация управление пользователями на базе ОС и вход в систему
ВНИМАНИЕ
Если вы перейдете с управления пользователями на уровне системы «КАСКАД Цифра» на управление пользователями на базе ОС, все пользователи «КАСКАД Цифра» (кроме пользователя ROOT) и локальные группы удаляются.
Когда пользователь входит в систему, соответствующие группы создаются в «КАСКАД Цифра» на сервере. Чтобы создать все необходимые группы в «КАСКАД Цифра», мы рекомендуем пользователю, который переключается на Управление пользователями на базе ОС, обладать правами администратора Active Directory.
Обратите внимание также, что сервер должен быть запущен с правами администратора Active Directory. Это означает, что пользователь, входящий на сервер, должен обладать правами администратора Active Directory.
Полномочия групп пользователей должны быть определены на уровне «КАСКАД Цифра».
- Активируйте управление пользователями на базе ОС путем нажатия кнопки «Аутен. в ОС», находящейся на панели управления пользователями:
ПРИМЕЧАНИЕ
При первом входе в систему внутренние структуры подготавливаются. Это может занять до 20 секунд.
ВНИМАНИЕ
Пользователь root должен использоваться для переключения с одного способа управления пользователями на другое.
Рисунок: Панель управления пользователями
После выбора управление пользователями на базе ОС, выводится сообщение с подтверждением. Подтвердите, что вы хотите использовать аутентификацию в ОС. Управление пользователями:
Рисунок: переход на аутентификацию в ОС Управление пользователями
ПРИМЕЧАНИЕ
Пользователь ROOT не удаляется!
- Если вы хотите немедленно настроить группы, нажмите кнопку «Да». Вы можете импортировать группы из Windows Active Directory или Linux User Administration. Чтобы импортировать группы, откройте панель «Выбор группы операционной системы» с помощью кнопки Добавить. См. раздел «Группы».
Рисунок: панель управления группами – Добавить
- Настройте полномочия для импортированных групп пользователей, дважды щелкнув по группе на панели управления группами. См. рисунок ниже.
ПРИМЕЧАНИЕ
Вы должны установить бит полномочий номер 1 (визуализация) для предполагаемой группы пользователей «КАСКАД Цифра». Без установленного бита полномочий 1 вход пользователей в систему «КАСКАД Цифра» невозможен. Все используемые на уровне «КАСКАД Цифра» группы пользователей перечислены в списке «Группы» в панели управления группами.
Рисунок: управление пользователями на уровне системы «КАСКАД Цифра»: полномочия для импортированных групп пользователей
- Войдите в систему «КАСКАД Цифра» с учетными данными нового пользователя.
Рисунок: вход в систему как новый пользователь
ПРИМЕЧАНИЕ
Для выполнения входа в систему «КАСКАД Цифра» пользователь должен быть зарегистрирован в домене.
При первом входе пользователя «JohnDoe» в систему «КАСКАД Цифра» данный пользователь будет создан в системе «КАСКАД Цифра» и будет отображаться в панели управления пользователями. Это означает, что при первом входе пользователей в систему на хосте «КАСКАД Цифра» пользователь автоматически создается в локальной базе данных, а также в соответствующих группах. С помощью битов полномочий члены одной и той же группы могут обладать различными битами полномочий для каждого хоста «КАСКАД Цифра», например, полными правами в системах 1 и 2 и только правами на квитирование в системе 3.
Рисунок: управление пользователями с контроллером домена и различными полномочиями пользователей в Windows/Linux
Аутентификация в ОС: Управление пользователями на базе AD (Windows)
ПРИМЕЧАНИЯ
- Пользователь, инициирующий переход от управления пользователями на уровне системы «КАСКАД Цифра» к управлению пользователями на базе ОС, должен принадлежать в Active Directory к группе, которой на уровне «КАСКАД Цифра» предоставлен требуемый уровень полномочий.
- Добавление или удаление пользователей на уровне системы «КАСКАД Цифра» при активированном управлении пользователями на базе ОС невозможно. Данные действия должны выполняться на уровне домена.
- Пользователи, удаленные на уровне Active Directory, не удаляются из базы данных системы «КАСКАД Цифра», поскольку их учетные записи могут использоваться в исторических запросах. Удаленные пользователи отмечаются во внутренней точке данных «_Users» как «_deleted» (удаленные).
Аутентификация в ОС: Управление пользователями в Linux
Как уже упоминалось ранее, в Linux для аутентификации в ОС используются подключаемые методы аутентификации (PAM). Вход в систему
ПРИМЕР
В следующем примере показан механизм PAM с контроллером домена Windows и контроллером домена Linux, реализованным через Samba4. Была настроена репликация пользователей, и клиент на Linux был интегрирован через LDAP в эту среду. Это означает, что вход в GNOME UI возможен с пользователем, существующим в Active Directory. На следующем рисунке показано, как была настроена система. Пользователь домена существует внутри Active Directory.
Рисунок: архитектура контроллера домена Windows/Linux
Имя службы PAM, используемое «КАСКАД Цифра», – «kaskad». В этом примере на Red Hat Enterprise Linux Server 7.4 создайте файл /etc/pam.d/kaskad со следующим содержимым: auth include password-auth
для хоста Linux «КАСКАД Цифра» (CentOS).
С помощью этой конфигурации вы можете перейти на управление пользователями на базе ОС и метод аутентификации внутри панели управления пользователями «КАСКАД Цифра». Вы можете войти в систему через панель login.pnl.
ПРИМЕЧАНИЕ
Обратите внимание, что приведенный выше пример является примером для Red Hat Enterprise Linux Server 7.4. Для других систем обратитесь к документации вашей системы.
ПРИМЕЧАНИЕ
При управлении пользователями в Linux часть (:0.0) в отображаемом имени полномочий для рабочих станций при использовании однократной идентификации должна быть удалена.