Создание учетной записи для работы Active Directory
Для полноценной работы системы Indeed CM необходимо наличие определенных прав доступа к объектам Active Directory и центрам сертификации. В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте сервисную учетную запись пользователя (например, servicecm) для работы с контейнером Indeed Identity, от имени которой будут выполняться операции сохранения данных в Active Directory.
Хранилище данных системы Indeed Certificate Manager в Active Directory создается при помощи утилиты IndeedCM.PersistenceAD.Cfg.exe (находится в каталоге Misc дистрибутива сервера).
Для создания хранилища данных запустите утилиту IndeedCM.Persistence.AD.Cfg.exe из дистрибутива с параметром /create <LDAP Path> <container name> <subcontainer name>, где:
LDAP Path – путь к контейнеру или подразделению домена, в котором необходимо создать хранилище.
container name – имя контейнера, в котором будут храниться все данные системы.
subcontainer name – имя подконтейнера.
Пример:
IndeedCM.Persistence.AD.Cfg.exe /create LDAP://"OU=MSK Office,DC=test,DC=local" "Indeed Identity" "Indeed CM"
На Рисунке 1 приведен пример запуска и выполнения команды для создания хранилища данных в подразделении MSK Office, домена test.local c именем контейнера Indeed Identity и именем подконтейнера Indeed CM.
Рисунок 1 – Создание хранилища данных Indeed CM в Active Directory.
Для сервисной учетной записи (servicecm) установите следующие полномочия для созданного контейнера (имя по умолчанию «Indeed Identity»):
- Полные права (Full Control) на Этот объект и все дочерние объекты (This object and all descendant objects).
Для этого выполните следующее:
1. Откройте свойство Безопасность (Security) контейнера Indeed Identity.
2. Нажмите Добавить (Add) и укажите сервисную учетную запись (servicecm).
3. Нажмите Дополнительно (Advanced), выберите сервисную учетную запись и нажмите Изменить (Edit).
4. Выберите область применения Этот объект и все дочерние объекты (This object and all descendant objects).
5. Установите разрешение Полный доступ (Full control) в списке Разрешений (Permissions).
6. Нажмите ОК и затем Применить (Apply).