Ideco UTM
v7.9
Search
K

Интеграция с Active Directory

В Ideco UTM реализована возможность односторонней синхронизации с доменом на базе Microsoft Active Directory. При этом импортируются только учетные записи, исключая пароли. Это означает, что при прохождении пользователем процедуры аутентификации, проверка будет осуществляться средствами Active Directory.
Для интеграции с Active Directory необходимо, чтобы время и часовой пояс на Ideco UTM и контроллерах домена совпадали. Обязательно проверьте текущие настройки времени на вкладке: Сервисы -> Дополнительно.
Поддерживается интеграция с Windows Server 2008, 2012, 2016. Более ранние версии не поддерживаются (Windows 2003 R2 поддерживается ограниченно).

Особенности использования интеграции с несколькими доменами Active Directory

При интеграции Ideco UTM с несколькими доменами в текущей версии имеются следующие ограничения:
  • Авторизация через Ideco Agent будет работать только с первым доменом, к которому был присоединен Ideco UTM.
  • Авторизация на почтовом сервере (POP3, IMAP, SMTP, web-почта) невозможна при использовании мультидоменной конфигурации.
  • При Single Sign-On авторизации при первом открытии браузера пользователю будет предложен выбор домена для аутентификации. Выбор будет сохранен с помощью cookie
    и будет использован при следующих авторизациях. Если вы хотите изменить домен - удалите файл cookie (для локального IP-адреса ideco UTM).

Возможные проблемы интеграции с Active Directory и их решение

Воспользуйтесь рекомендациями ниже, если у вас возникла одна из этих проблем: импортированная из AD группа перестала синхронизироваться с доменом; вы получаете пустой список пользователей при повторной синхронизации; возникает ошибка подключения к домену; проблемы с авторизацией пользователей.
  1. 1.
    Проверить время на UTM на вкладке Сервер - Дополнительно. Часовой пояс и фактическое время должны совпадать с временем и часовым поясом на AD.
  2. 2.
    Для авторизации пользователя его устройство должно резолвить домены в IP-адреса без подключения к Интернету (с помощью DNS-сервера контроллера домена или DNS-сервера Ideco UTM). Проверить резолвинг можно с помощью команды nslookup.
  3. 3.
    Журнал службы интеграции с доменом можно посмотреть в разделе Мониторинг -> Журнал -> Интеграция с Active Directory.
Previous
Настройка учетных записей пользователей
Next
Ввод сервера в домен
Last modified 2yr ago