Интеграция с Active Directory

В Ideco UTM реализована возможность односторонней синхронизации с доменом на базе Microsoft Active Directory. При этом импортируются только учетные записи, исключая пароли. Это означает, что при прохождении пользователем процедуры аутентификации, проверка будет осуществляться средствами Active Directory.

Особенности использования интеграции с несколькими доменами Active Directory

При интеграции Ideco UTM с несколькими доменами в текущей версии имеются следующие ограничения:

• Авторизация через Ideco Agent будет работать только с первым доменом, к которому был присоединен Ideco UTM.

• Авторизация на почтовом сервере (POP3, IMAP, SMTP, web-почта) невозможна при использовании мультидоменной конфигурации.

• При Single Sign-On авторизации при первом открытии браузера пользователю будет предложен выбор домена для аутентификации. Выбор будет сохранен с помощью cookie

  и будет использован при следующих авторизациях. Если вы хотите изменить домен - удалите файл cookie (для локального IP-адреса ideco UTM).

Возможные проблемы интеграции с Active Directory и их решение

Воспользуйтесь рекомендациями ниже, если у вас возникла одна из этих проблем: импортированная из AD группа перестала синхронизироваться с доменом; вы получаете пустой список пользователей при повторной синхронизации; возникает ошибка подключения к домену; проблемы с авторизацией пользователей.

1. Проверить время на UTM на вкладке Сервер - Дополнительно. Часовой пояс и фактическое время должны совпадать с временем и часовым поясом на AD.

2. Для авторизации пользователя его устройство должно резолвить домены в IP-адреса без подключения к Интернету (с помощью DNS-сервера контроллера домена или DNS-сервера Ideco UTM). Проверить резолвинг можно с помощью команды nslookup.

3. Журнал службы интеграции с доменом можно посмотреть в разделе Мониторинг -> Журнал -> Интеграция с Active Directory.