Ve WinRoute lze přímo používat uživatelské účty z jedné nebo více Active Directory domén. Tato funkce se nazývá transparentní podpora Active Directory nebo mapování Active Directory domén. Základní výhodou je, že veškerá správa uživatelských účtů a skupin probíhá pouze v databázi Active Directory (použitím standardních systémových nástrojů). Ve WinRoute lze pro každou doménu definovat šablonu, podle které budou nastaveny specifické parametry účtů pro WinRoute (přístupová práva, kvóty objemu dat a pravidla pro obsah WWW stránek — viz kapitola 15.1 Zobrazení a definice uživatelských účtů). V případě potřeby lze u konkrétních účtů tyto parametry nastavit individuálně.
Poznámka: Doménu Windows NT nelze popsaným způsobem mapovat. V případě Windows NT domény doporučujeme importovat uživatelské účty do lokální databáze uživatelů (viz kapitola 15.3 Lokální databáze uživatelů: externí ověřování a import účtů)
Pro správnou funkci ověřování uživatelů v mapovaných Active Directory doménách musí být splněny tyto podmínky:
V případě jedné mapované domény:
Počítač s WinRoute musí být členem příslušné Active Directory domény.
Jako primární DNS server v operačním systému musí být nastaven doménový server (řadič) Active Directory.
V případě mapování více domén:
Počítač s WinRoute musí být členem jedné z mapovaných domén.
Tato doména musí důvěřovat všem ostatním doménám, které jsou ve WinRoute mapovány (podrobnosti viz dokumentace k operačnímu systému na příslušném doménovém serveru).
Pro nastavení DNS platí stejná pravidla jako v případě mapování jedné domény (jako DNS server musí být nastaven doménový server té domény, jíž je počítač s WinRoute členem).
K nastavení mapování Active Directory domén slouží záložka Active Directory v sekci Uživatelé a skupiny → Uživatelé.
Není-li dosud definováno mapování žádné domény nebo je-li definována pouze jedna doména, obsahuje záložka Active Directory přímo parametry potřebné pro mapování domény.
V horní části záložky Active Directory lze povolit nebo zakázat mapování Active Directory domény do WinRoute.
V položce Jméno domény Active
Directory je třeba uvést plné DNS jméno mapované domény (tj. např.
firma.cz
, nikoliv pouze firma
).
Doporučujeme vyplnit také stručný textový popis domény (zvyšuje přehlednost
zejména při větším počtu mapovaných domén).
V sekci Přístup do domény je třeba zadat přihlašovací jméno a heslo uživatelského účtu s právy čtení databáze Active Directory (lze použít libovolný uživatelský účet z příslušné domény, není-li zablokován).
Tlačítko
otevírá dialog pro nastavení parametrů komunikace s doménovými servery:Výběr doménového serveru — WinRoute může automaticky vyhledat doménový server nebo se vždy připojovat ke specifikovanému serveru. Automatické vyhledávání serveru zajišťuje vyšší spolehlivost v případě výpadku některého z doménových serverů. V doméně s jedním serverem naopak doporučujeme server specifikovat (z důvodu rychlosti).
Šifrované spojení — pro zvýšení bezpečnosti lze použít při komunikaci s doménovým serverem šifrování (komunikaci pak nebude možné odposlouchávat). V tomto případě musí být správně nastavena podpora šifrovaného spojení na doménovém serveru. Podrobnosti naleznete v dokumentaci k příslušnému operačnímu systému.
Pro Active Directory doménu lze zapnout podporu ověřování metodou NTLM. Tato podpora musí být zapnuta, pokud chceme využívat automatické ověřování uživatelů pomocí WWW prohlížečů (viz kapitola 25.2 Automatické ověřování uživatelů pomocí NTLM).
Pro ověřování metodou NTLM je třeba zadat název NT domény odpovídající uvedené Active Directory doméně.
Chceme-li mapovat uživatelské účty z několika různých Active Directory domén, použijeme tlačítko .
Po stisknutí tlačítka se záložka Active Directory přepne do režimu seznamu domén.
Jedna z domén je vždy nastavena jako primární. V této
doméně budou hledány uživatelské účty, u nichž není specifikována doména (např.
jnovak
). Uživatelé z ostatních domén musí při
přihlašování zadávat své uživatelské jméno včetně domény (např.
pmaly@pobocka.firma.cz
).
Tlačítko Active Directory v případě jedné domény (viz výše).
nebo otevírá dialog pro definici domény. Tento dialog obsahuje stejné parametry jako záložkaPoznámka:
Standardně je primární doménou doména, která byla definovaná jako první. Primární doménu lze změnit tlačítkem
.Primární domény nesouvisí s členstvím počítače WinRoute v doméně (viz sekce Podmínky použití mapovaných domén). Nastavení primární domény pouze určuje, kteří uživatelé se budou moci přihlašovat do WinRoute (tj. k WWW rozhraní, k rozhraní SSL-VPN, ke správě WinRoute atd.) uživatelským jménem bez domény.
Při mapování Active Directory domény může dojít ke konfliktu s lokální databází uživatelů, pokud v doméně i v lokální databázi existuje uživatelský účet stejného jména. Je-li mapováno více domén, může konflikt nastat pouze mezi lokální databází a primární doménou (účty z ostatních domén musí být vždy uváděny včetně domény, čímž je konflikt vyloučen).
V případě konfliktu se v dolní části záložky Uživatelské účty zobrazí příslušné varování. Kliknutím na odkaz ve varovné zprávě lze provést tzv. konverzi vybraných uživatelských účtů (nahrazení lokálních účtů odpovídajícími účty z Active Directory).
Při konverzi účtu budou automaticky provedeny tyto operace:
nahrazení všech výskytů lokálního účtu v konfiguraci WinRoute (v komunikačních pravidlech, pravidlech pro URL, pravidlech pro FTP atd.) odpovídajícím účtem z Active Directory domény,
odstranění účtu z lokální databáze uživatelů.
Účty, které nebudou vybrány pro konverzi, zůstanou v lokální databázi uživatelů zachovány (a nadále bude hlášen konflikt). Konfliktní účty lze používat — jedná se o dva nezávislé účty. Účet z Active Directory však musí být vždy zadáván včetně domény (přestože se jedná o primární doménu); uživatelské jméno bez domény představuje účet z lokální databáze. Je-li to však možné, doporučujeme všechny konflikty odstraňovat konverzí příslušných účtů.
Poznámka: V případě skupin uživatelů ke konfliktům nedochází — lokální skupiny jsou vždy nezávislé na Active Directory (i v případě, že je jméno lokální skupiny shodné se jménem skupiny v příslušné doméně).