Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Создание сервисной учетной записи для работы с каталогом пользователей Active Directory и хранилищем данных системы

Для полноценной работы системы Indeed Certificate Manager необходимо наличие определенных прав доступа к объектам Active Directory. В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.

Создайте сервисную учетную запись (например, servicecm), от имени которой будут выполняться операции сохранения и чтения данных в хранилище Active Directory.

Настройка каталога пользователей в Active Directory

Выдайте созданной сервисной учетной записи (servicecm) необходимые права для работы с объектом (доменом, контейнером, подразделением), в котором будут располагаться пользователи Indeed Certificate Manager. Эта учетная запись будет использоваться для чтения и записи атрибутов пользователей.

Для этого выполните следующее:

  1. Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Indeed CM.
  2. Нажмите Дополнительно (Advanced). Нажмите кнопку Добавить (Add). Щелкните Выбрать субъект (Select a principal).
  3. В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи (servicecm) и нажмите ОК.
  4. В поле со списком Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
  5. В списке Разрешений (Permissions) поставьте разрешение напротив:
    • Список содержимого (List contents).
    • Прочитать все свойства (Read all properties).

      Info

      По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена.


    • Сброс пароля (Reset password) - Требуется для возможности Сброса пароля пользователя через интерфейс системы.
  6. В списке Свойств (Properties) отметьте пункты:
  7. Нажмите ОК и затем Применить (Apply).
Warning

Установите одинаковый набор прав сервисной учетной записи для каждого объекта (домена, контейнера или подразделения), в котором располагаются пользователи Indeed CM.

Если в домене чтение всех свойств пользователя запрещено политиками безопасности, то выдайте сервисной учетной записи права на чтение только необходимых атрибутов пользователей по таблице 3 , описанных ниже в таблицеи атрибутов объекта (домена, контейнера или подразделения), в котором располагаются пользователи Indeed CM.

  1. В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Indeed CM.
  2. Для области применения Этот объект и все дочерние объекты (This object and all descendant objects).
    • В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
    • В списке Свойств (Properties) отметьте пункты:
      • Чтение: сanonicalName (Read сanonicalName)
      • Чтение: Distinguished Name (Read Distinguished Name)
      • Чтение: objectClass (Read objectClass)
      • Чтение: objectGuid (Read objectGuid)
      • Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly)
  3. Для области применения Дочерние объекты: Пользователь (Descendant user objects).

    • В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
    • В списке Свойств (Properties)  выберите выберите чтение/запись следующих наборов свойств и атрибутов, соответствующих таблице 3:
      • Чтение: личные сведения (Read personal Information)
      • Чтение: общие сведения (Read general Information)
      • Чтение: ограничения учетной записи (Read account restrictions)
      • Чтение: открытые сведения (Read public Information)
      • Чтение: Employee ID (Read Employee ID)
      • Запись: pwdLastSet (Write pwdLastSet)
      • Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto)
      • Запись: userAccountControl (Write userAccountControl)
      • Запись: userCertificate (Write userCertificate)
Info

Приведены отображаемые имена LDAP (LDAP Display Name).

Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (cм. Наборы свойств Active Directory).

Таблица 3 – Атрибуты, используемые Indeed CM при работе с каталогом пользователей.

Атрибут (LDAP Display Name)Common NameКомментарий
c

Country/Region Abbreviation или
Country/Region NameAbbreviation

Входит в набор свойств «Личные сведения» (Personal Information).

сanonicalNameCanonical NameВходит в набор свойств «Открытые сведения» (Public Information).
cnCommon Name

Входит в набор свойств «Открытые сведения» (Public Information).

companyCompany

Входит в набор свойств «Открытые сведения» (Public Information).

departmentDepartment

Входит в набор свойств «Открытые сведения» (Public Information).

distinguishedNameDistinguished NameВходит в набор свойств «Открытые сведения» (Public Information).employeeID
Employee IDgivenNameGiven Name

Входит в набор свойств «Открытые сведения» (Public Information).

lLocality Name

Входит в набор свойств «Личные сведения» (Personal Information).

mailE-mail Addresses

Входит в набор свойств «Открытые сведения» (Public Information).

managerManager

Входит в набор свойств «Открытые сведения» (Public Information).

objectClassObject ClassВходит в набор свойств «Открытые сведения» (Public Information).
objectGUIDОbject GUID

Входит в набор свойств «Открытые сведения» (Public Information).

objectSidObject SidВходит в набор свойств «Общие сведения» (General Information).
otherMailboxOther MailboxВходит в набор свойств «Открытые сведения» (Public Information).
proxyAddressesProxy AddressesВходит в набор свойств «Открытые сведения» (Public Information).
pwdLastSetPwd Last SetВходит в набор свойств «Ограничения учетной записи» (Account Restrictions).
sAMAccountNameSAM Account Name

Входит в набор свойств «Общие сведения» (General Information).

snSurname

Входит в набор свойств «Открытые сведения» (Public Information).

st

State or Province Name

Входит в набор свойств «Личные сведения» (Personal Information).

streetAddressAddress (или Street)

Входит в набор свойств «Личные сведения» (Personal Information).

telephoneNumberTelephone Number

Входит в набор свойств «Личные сведения» (Personal Information).

thumbnailPhoto

или jpegPhoto

Picture

Входит в набор свойств «Личные сведения» (Personal Information).

userAccountControl

User Account Control

Входит в набор свойств «Ограничения учетной записи» (Account Restrictions).

userCertificateUser CertificateВходит в набор свойств «Личные сведения» (Personal Information).
userPrincipalNameUser Principal Name

Входит в набор свойств «Открытые сведения» (Public Information).