Связанные статьи:

Включение LDAP аутентификации на портале (кнопка "Вход через Windows")

Синхронизация списка пользователей с LDAP-каталогом (AD)

Статья посвящена настройке интеграции системы, развернутой на сервере под управлением ОС Windows, с глобальным каталогом LDAP (Active Directory) с использованием  механизма Kerberos.

1. Создание учетной записи в AD

Для подключения к контроллеру домена нам необходимо подтверждать подлинность. Это выполняется с помощью учетной записи в LDAP.

На контроллере домена в оснастке "Пользователи и компьютеры" добавить нового пользователя со стандартными правами. От имени этой учетной записи будут выполняться запросы к AD DS.

В текущем примере создаем пользователя с именем входа vitro_krb5. 

2. Настройка связанной SPN

Настроить субъект-службу для сервисной учетной записи.  Для этого на контроллере домена и от имени администратора надо запустить Powershell или обычную командную строку. Ввести:

Setspn -s HTTP/vitroweb.public.com vitro_krb5@domain.local
vitroweb.public.com — FQDN имя сервера Vitro. Указывается имя используемое конечными пользователями (публичное или внутрисетевое) для подключения к порталу, зарегистрированное в корпоративном DNS (запись типа A, или CNAME);
DOMAIN.LOCAL — домен предприятия (внутренний);
vitro_krb5@DOMAIN.LOCAL  — учетная запись в AD для выполнения запросов (создана на шаге выше);

3. Настройка Веб-приложения Vitro для авторизации в каталоге LDAP/AD при помощи сервис принципала

Отредактировать (а при отсутствии предварительно создать) файл C:\Program Files\Vitro Software\Vitro\Server\Conf\auth.json

auth.json
{
"DomainName": "dc1.domain.local",
"PortNumber": 389,
"Container": "DC=vitro,DC=intra",
"UserName": "vitro_krb5",
"Password": "@pwd4krb!",
"AuthType": "Basic",
"Ssl": false
}

Описание параметров

"DomainName" - FQDN имя контроллера домена

"PortNumber" -  Номер порта для подключения к LDAP каталогу. Для подключения к LDAPS используется порт с номером 636 или 3269. Значение по умолчанию: 389.

"Container" - объект структуры каталога LDAP/AD в котором осуществляется поиск пользователей 

"UserName" - имя пользователя, от имени которого осуществляется подключение к каталогу LDAP/AD

"Password" - пароль пользователя, от имени которого осуществляется подключение к каталогу LDAP/AD

"AuthType" - тип аутентификации (оставить "Basic")

"Ssl" -  Подключаться по SSL протоколу. Используется совместно с параметром PortNumber (порт 636 или 3269).  Значение по умолчанию: false.

4. Настройка запуска Веб-приложения Vitro

Настроить в планировщике задачи Windows запуск службы Vitro Server .Net Web Application от созданной учетной записи. Если запуск Веб-приложения Vitro настраивался с помощью планировщика Windows, то меняем учетную запись на запись, указанную при настройке SPN в п.2 и перезапускаем службу.





  • No labels