15.4  Uživatelské účty v Active Directory — mapování domén

Ve WinRoute lze přímo používat uživatelské účty z jedné nebo více Active Directory domén. Tato funkce se nazývá transparentní podpora Active Directory nebo mapování Active Directory domén. Základní výhodou je, že veškerá správa uživatelských účtů a skupin probíhá pouze v databázi Active Directory (použitím standardních systémových nástrojů). Ve WinRoute lze pro každou doménu definovat šablonu, podle které budou nastaveny specifické parametry účtů pro WinRoute (přístupová práva, kvóty objemu dat a pravidla pro obsah WWW stránek — viz kapitola 15.1  Zobrazení a definice uživatelských účtů). V případě potřeby lze u konkrétních účtů tyto parametry nastavit individuálně.

Poznámka: Doménu Windows NT nelze popsaným způsobem mapovat. V případě Windows NT domény doporučujeme importovat uživatelské účty do lokální databáze uživatelů (viz kapitola 15.3  Lokální databáze uživatelů: externí ověřování a import účtů)

Podmínky použití mapovaných domén

Pro správnou funkci ověřování uživatelů v mapovaných Active Directory doménách musí být splněny tyto podmínky:

  • V případě jedné mapované domény:

    1. Počítač s WinRoute musí být členem příslušné Active Directory domény.

    2. Jako primární DNS server v operačním systému musí být nastaven doménový server (řadič) Active Directory.

  • V případě mapování více domén:

    1. Počítač s WinRoute musí být členem jedné z mapovaných domén.

    2. Tato doména musí důvěřovat všem ostatním doménám, které jsou ve WinRoute mapovány (podrobnosti viz dokumentace k operačnímu systému na příslušném doménovém serveru).

    3. Pro nastavení DNS platí stejná pravidla jako v případě mapování jedné domény (jako DNS server musí být nastaven doménový server té domény, jíž je počítač s WinRoute členem).

Mapování jedné domény

K nastavení mapování Active Directory domén slouží záložka Active Directory v sekci Uživatelé a skupiny → Uživatelé.

Není-li dosud definováno mapování žádné domény nebo je-li definována pouze jedna doména, obsahuje záložka Active Directory přímo parametry potřebné pro mapování domény.

Mapování Active Directory domény

Obrázek 15.13. Mapování Active Directory domény


Mapování Active Directory

V horní části záložky Active Directory lze povolit nebo zakázat mapování Active Directory domény do WinRoute.

V položce Jméno domény Active Directory je třeba uvést plné DNS jméno mapované domény (tj. např. firma.cz, nikoliv pouze firma). Doporučujeme vyplnit také stručný textový popis domény (zvyšuje přehlednost zejména při větším počtu mapovaných domén).

Přístup do domény

V sekci Přístup do domény je třeba zadat přihlašovací jméno a heslo uživatelského účtu s právy čtení databáze Active Directory (lze použít libovolný uživatelský účet z příslušné domény, není-li zablokován).

Tlačítko Upřesnění otevírá dialog pro nastavení parametrů komunikace s doménovými servery:

Upřesňující nastavení přístupu do Active Directory

Obrázek 15.14. Upřesňující nastavení přístupu do Active Directory


  • Výběr doménového serveru — WinRoute může automaticky vyhledat doménový server nebo se vždy připojovat ke specifikovanému serveru. Automatické vyhledávání serveru zajišťuje vyšší spolehlivost v případě výpadku některého z doménových serverů. V doméně s jedním serverem naopak doporučujeme server specifikovat (z důvodu rychlosti).

  • Šifrované spojení — pro zvýšení bezpečnosti lze použít při komunikaci s doménovým serverem šifrování (komunikaci pak nebude možné odposlouchávat). V tomto případě musí být správně nastavena podpora šifrovaného spojení na doménovém serveru. Podrobnosti naleznete v dokumentaci k příslušnému operačnímu systému.

Podpora NT ověřování

Pro Active Directory doménu lze zapnout podporu ověřování metodou NTLM. Tato podpora musí být zapnuta, pokud chceme využívat automatické ověřování uživatelů pomocí WWW prohlížečů (viz kapitola 25.2  Automatické ověřování uživatelů pomocí NTLM).

Pro ověřování metodou NTLM je třeba zadat název NT domény odpovídající uvedené Active Directory doméně.

Chceme-li mapovat uživatelské účty z několika různých Active Directory domén, použijeme tlačítko Definovat více domén.

Mapování dvou a více domén

Po stisknutí tlačítka Definovat více domén se záložka Active Directory přepne do režimu seznamu domén.

Mapování více domén Active Directory

Obrázek 15.15. Mapování více domén Active Directory


Jedna z domén je vždy nastavena jako primární. V této doméně budou hledány uživatelské účty, u nichž není specifikována doména (např. jnovak). Uživatelé z ostatních domén musí při přihlašování zadávat své uživatelské jméno včetně domény (např. pmaly@pobocka.firma.cz).

Tlačítko Přidat nebo Změnit otevírá dialog pro definici domény. Tento dialog obsahuje stejné parametry jako záložka Active Directory v případě jedné domény (viz výše).

Poznámka:

  1. Standardně je primární doménou doména, která byla definovaná jako první. Primární doménu lze změnit tlačítkem Nastavit jako primární.

  2. Primární domény nesouvisí s členstvím počítače WinRoute v doméně (viz sekce Podmínky použití mapovaných domén). Nastavení primární domény pouze určuje, kteří uživatelé se budou moci přihlašovat do WinRoute (tj. k WWW rozhraní, k rozhraní SSL-VPN, ke správě WinRoute atd.) uživatelským jménem bez domény.

Konflikt Active Directory s lokální databází a konverze účtů

Při mapování Active Directory domény může dojít ke konfliktu s lokální databází uživatelů, pokud v doméně i v lokální databázi existuje uživatelský účet stejného jména. Je-li mapováno více domén, může konflikt nastat pouze mezi lokální databází a primární doménou (účty z ostatních domén musí být vždy uváděny včetně domény, čímž je konflikt vyloučen).

V případě konfliktu se v dolní části záložky Uživatelské účty zobrazí příslušné varování. Kliknutím na odkaz ve varovné zprávě lze provést tzv. konverzi vybraných uživatelských účtů (nahrazení lokálních účtů odpovídajícími účty z Active Directory).

Konverze uživatelských účtů

Obrázek 15.16. Konverze uživatelských účtů


Při konverzi účtu budou automaticky provedeny tyto operace:

  • nahrazení všech výskytů lokálního účtu v konfiguraci WinRoute (v komunikačních pravidlech, pravidlech pro URL, pravidlech pro FTP atd.) odpovídajícím účtem z Active Directory domény,

  • odstranění účtu z lokální databáze uživatelů.

Účty, které nebudou vybrány pro konverzi, zůstanou v lokální databázi uživatelů zachovány (a nadále bude hlášen konflikt). Konfliktní účty lze používat — jedná se o dva nezávislé účty. Účet z Active Directory však musí být vždy zadáván včetně domény (přestože se jedná o primární doménu); uživatelské jméno bez domény představuje účet z lokální databáze. Je-li to však možné, doporučujeme všechny konflikty odstraňovat konverzí příslušných účtů.

Poznámka: V případě skupin uživatelů ke konfliktům nedochází — lokální skupiny jsou vždy nezávislé na Active Directory (i v případě, že je jméno lokální skupiny shodné se jménem skupiny v příslušné doméně).