Ve WinRoute lze přímo používat uživatelské účty z jedné nebo více Active Directory domén. Tato funkce se nazývá transparentní podpora Active Directory nebo též mapování Active Directory domén. Hlavní výhodou je, že veškerá správa uživatelských účtů a skupin probíhá pouze v databázi Active Directory (s použitím standardních systémových nástrojů). Ve WinRoute lze pro každou doménu definovat šablonu, podle které budou nastaveny specifické parametry účtů pro WinRoute (přístupová práva, kvóty objemu dat a pravidla pro obsah WWW stránek — viz kapitola 15.1 Zobrazení a definice uživatelských účtů). V případě potřeby lze u konkrétních účtů tyto parametry nastavit individuálně.
Poznámka: Doménu Windows NT nelze popsaným způsobem mapovat. V případě Windows NT domény doporučujeme importovat uživatelské účty do lokální databáze uživatelů (viz kapitola 15.3 Lokální databáze uživatelů: externí ověřování a import účtů)
Pro správnou funkci ověřování uživatelů v mapovaných Active Directory doménách musí být splněny tyto podmínky:
V případě jedné mapované domény:
Počítač s WinRoute musí být členem příslušné Active Directory domény.
Počítače v lokální síti (pracovní stanice uživatelů) by měly jako primární DNS server používat DNS forwarder ve WinRoute, který dokáže zpracovat dotazy do Active Directory a předat je příslušnému doménovému serveru. Při použití jiného DNS serveru nelze zaručit správnou funkčnost ověřování uživatelů v Active Directory.
V případě mapování více domén:
Počítač s WinRoute musí být členem jedné z mapovaných domén. Tato doména bude označována jako primární.
Primární doména musí důvěřovat všem ostatním doménám, které jsou ve WinRoute mapovány (podrobnosti viz dokumentace k operačnímu systému na příslušném doménovém serveru).
Pro nastavení DNS platí stejná pravidla jako v případě mapování jedné domény (nejvhodnější je použít DNS forwarder ve WinRoute).
Mapování Active Directory domén lze nastavit:
v programu Administration Console v sekci Uživatelé a skupiny → Uživatelé, záložka Active Directory,
v rozhraní Web Administration v sekci Uživatelé a skupiny → Domény a ověřování, záložka Active Directory.
Horní část záložky Active Directory zobrazuje informaci o členství počítače s firewallem v doméně.
V edici Software Appliance / VMware Virtual Appliance je možné firewall přidat do domény, změnit členství v doméně nebo odpojit od domény.
Přidat firewall do domény nebo změnit jeho členství v doméně lze pomocí jednoduchého průvodce.
V prvním kroku průvodce je potřeba zadat celé jméno domény Active Directory (např. firma.cz
) a jméno a heslo uživatele s právem přidávat počítače do domény.
Pokud se WinRoute nepodaří automaticky nalézt doménový server zadané domény, dotáže se v dalším kroku na jeho IP adresu. Poté bude uživatel informován o výsledku přidání firewallu do domény.
Mapování primární domény (tedy domény, které je počítač s firewallem členem), nastavíme volbou Použít databázi doménových uživatelů. Pro připojení k doménovému serveru je potřeba zadat uživatelské jméno a heslo s právy pro čtení databáze uživatelů (lze použít libovolný uživatelský účet z příslušné domény, není-li zablokován).
Způsob spolupráce WinRoute s Active Directory lze ovlivnit několika upřesňujícími parametry.
Doporučený způsob spolupráce s Active Directory je mapování domény (uživatelské účty jsou uloženy a spravovány pouze v Active Directory). Toto však v určitých situacích nemusí být žádoucí. Např. při nasazení Active Directory do sítě, kde byla dříve používána doména Windows NT nebo kde nebyla použita žádná doména, jsou již účty uživatelů vytvořeny v lokální databázi WinRoute. V takovém případě je nejjednodušším řešením zachovat lokální účty a pouze nastavit ověřování v Active Directory (aby uživatelé měli shodné heslo do domény i na firewall).
Je-li WinRoute nainstalován na systému Windows, pak je možné povolit ověřování kompatibilní se staršími systémy (tzn. ověřování v doméně Windows NT). Tuto volbu je nutné zapnout v případě, že doménový server používá operační systém Windows NT nebo některý z klientů v lokální síti používá operační systém Windows starší než Windows 2000. V Software Appliance / VMware Virtual Appliance tato volba není k dispozici (ověřování v doméně Windows NT není podporováno).
Dále je k dispozici volba pro automatický import uživatelských účtů z Active Directory do lokální databáze (po prvním přihlášení uživatele k firewallu doménovým jménem a heslem bude automaticky vytvořen účet stejného jména v lokální databázi). Tato volba slouží výhradně pro zachování kompatibility se staršími verzemi WinRoute. V nových instalacích je jednoznačně doporučeno použít mapování domén — správa uživatelů je pak výrazně jednodušší a méně časově náročná. Bližší informace naleznete v Příručce Administrátora ke starším verzím WinRoute (verze 6.7.0 nebo nižší).
Ve výchozím nastavení WinRoute detekuje automaticky doménové servery pro zadanou doménu a pro komunikaci s databází Active Directory použije první nalezený server. Automatická detekce výrazně zjednodušuje konfiguraci (není nutné zadávat IP adresy jednotlivých doménových serverů).
V případě potřeby můžeme zadat jméno nebo IP adresu konkrétního doménového serveru. WinRoute pak nebude provádět automatickou detekci a bude se vždy připojovat pouze k zadanému serveru.
Pro zvýšení bezpečnosti (znemožnění odposlechu komunikace a získání hesel uživatelů) může být komunikace se serverem Active Directory šifrována. Povolení šifrovaného spojení vyžaduje odpovídající nastavení na příslušném doménovém serveru (resp. na všech serverech dané domény, pokud je použita automatická detekce).
Chceme-li mapovat uživatelské účty z několika různých Active Directory domén, přidáme další domény v upřesňujících nastaveních na záložce Další mapování.
Uživatelé z ostatních domén musí při
přihlašování zadávat své uživatelské jméno včetně domény (např.
pmaly@pobocka.firma.cz
).
Uživatelské účty, u nichž není specifikována doména (např.
jnovak
), budou hledány v primární doméně nebo v lokální databázi.
Tlačítko
nebo otevírá dialog pro definici domény, ve kterém lze zadat parametry mapované domény. Podrobnosti viz výše (mapování primární domény a upřesňující nastavení).Při mapování Active Directory domény může dojít ke konfliktu s lokální databází uživatelů, pokud v doméně i v lokální databázi existuje uživatelský účet stejného jména. Je-li mapováno více domén, může konflikt nastat pouze mezi lokální databází a primární doménou (účty z ostatních domén musí být vždy uváděny včetně domény, čímž je konflikt vyloučen).
V případě konfliktu se v dolní části záložky Uživatelské účty zobrazí příslušné varování. Kliknutím na odkaz ve varovné zprávě lze provést tzv. konverzi vybraných uživatelských účtů (nahrazení lokálních účtů odpovídajícími účty z Active Directory).
Při konverzi účtu budou automaticky provedeny tyto operace:
nahrazení všech výskytů lokálního účtu v konfiguraci WinRoute (v komunikačních pravidlech, pravidlech pro URL, pravidlech pro FTP atd.) odpovídajícím účtem z Active Directory domény,
odstranění účtu z lokální databáze uživatelů.
Účty, které nebudou vybrány pro konverzi, zůstanou v lokální databázi uživatelů zachovány (a nadále bude hlášen konflikt). Konfliktní účty lze používat — jedná se o dva nezávislé účty. Účet z Active Directory však musí být vždy zadáván včetně domény (přestože se jedná o primární doménu); uživatelské jméno bez domény představuje účet z lokální databáze. Je-li to však možné, doporučujeme všechny konflikty odstraňovat konverzí příslušných účtů.
Poznámka: V případě skupin uživatelů ke konfliktům nedochází — lokální skupiny jsou vždy nezávislé na Active Directory (i v případě, že je jméno lokální skupiny shodné se jménem skupiny v příslušné doméně).