Product SiteDocumentation Site

42.3.4. AD аутентификация

В данном разделе приведён пример настройки аутентификации AD. В примере используются следующие исходные данные:
  • dc1.test.alt, 192.168.0.132 — сервер AD;
  • administrator@test.alt — учётная запись администратора (для большей безопасности рекомендуется создать отдельную учетную запись с доступом только для чтения к объектам домена и не использовать учётную запись администратора);
  • office — группа, пользователи которой имеют право аутентифицироваться в PVE.
Для настройки AD аутентификации необходимо выполнить следующие шаги:
  1. Создать область аутентификации AD (в разделе Центр обработки данныхРазрешенияОбласти нажать кнопку ДобавитьСервер Active Directory):
    Создать область аутентификации AD
  2. На вкладке Общее указать следующие данные:
    • Область — идентификатор области;
    • Домен — домен AD (test.alt);
    • С учётом регистра — учитывать регистр в имени пользователя;
    • По умолчанию — установить область в качестве области по умолчанию для входа в систему;
    • Сервер — IP-адрес или имя сервера AD (dc1.test.alt или 192.168.0.132);
    • Резервный сервер (опционально) — адрес резервного сервера на случай, если основной сервер недоступен;
    • Порт — порт, который прослушивает сервер LDAP (обычно 389 без ssl, 636 с ssl);
    • Режим — режим протокола LDAP;
    • Требовать двухфакторную проверку подлинности — включить двухфакторную аутентификацию.
    Настройка аутентификации AD (вкладка Общее)
  3. На вкладке Параметры синхронизации заполнить следующие поля (в скобках указаны значения, используемые в данном примере):
    • Пользователь привязки — имя пользователя (cn=Administrator,cn=Users,dc=test,dc=alt);
    • Пароль привязки — пароль пользователя (пароль будет сохранен в файл /etc/pve/priv/realm/<realmname>.pw);
    • Атрибут электронной почты (опционально);
    • Атрибут имени группы — атрибут имени группы (cn);
    • Классы пользователей — класс пользователей AD;
    • Классы групп — класс групп AD;
    • Фильтр пользователей — фильтр пользователей ((&(objectclass=user)(samaccountname=*)(MemberOf=CN=office,ou=OU,dc=TEST,dc=ALT)));
    • Фильтр групп — фильтр групп ((|(cn=*office*)(dc=dc)(dc=test)(dc=alt)));
    Настройка аутентификации AD (вкладка Параметры синхронизации)
  4. Нажать кнопку Добавить.
  5. Выбрать добавленную область и нажать кнопку Синхронизировать.
  6. Указать, если необходимо, параметры синхронизации и нажать кнопку Синхронизировать:
    Параметры синхронизации области аутентификации
    В результате синхронизации пользователи и группы PVE будут синхронизированы с сервером AD. Сведения о пользователях и группах можно проверить на вкладках Пользователи и Группы.
  7. Настроить разрешения для группы/пользователя на вкладке Разрешения.

Примечание

Команда синхронизации пользователей и групп: 
# pveum realm sync test.alt
Для автоматической синхронизации пользователей и групп можно создать задание синхронизации области (в разделе Центр обработки данныхРазрешенияОбласти в разделе Задания синхронизации области нажать кнопку Добавить):
Создание задания синхронизации области аутентификации