Создание сервисной учетной записи для работы с каталогом пользователей Active Directory и хранилищем данных системы
Для полноценной работы системы Рутокен KeyBox необходимо наличие определенных прав доступа к объектам Active Directory.
В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте сервисную учетную запись (например, servicecm), от имени которой будут выполняться операции сохранения и чтения данных в хранилище Active Directory.
Настройка каталога пользователей в Active Directory
Для начала дайте созданной сервисной учетной записи (servicecm) необходимые права для работы с объектом (доменом, контейнером, подразделением), в котором будут располагаться пользователи Рутокен KeyBox. Эта учетная запись будет использоваться для чтения и записи атрибутов пользователей.
Чтобы дать такие права:
- Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Рутокен KeyBox.
- Нажмите Дополнительно (Advanced). Нажмите кнопку Добавить (Add). Щелкните Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи (servicecm) и нажмите ОК.
- В раскрывающемся списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешений (Permissions) поставьте галочки напротив:
- Список содержимого (List contents).
Прочитать все свойства (Read all properties).
По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена.- Сброс пароля (Reset password) — требуется для возможности Сброса пароля пользователя через интерфейс системы.
- В списке Свойств (Properties) выберите пункты:
- Запись: pwdLastSet (Write pwdLastSet) — требуется для возможности сброса пароля пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) — требуется для возможности Загрузки фотографии пользователю в Active Directory через интерфейс системы.
- Запись: userAccountControl (Write userAccountControl) — необходима для работы опции Требовать логин по смарт-карте.
- Запись: userCertificate (Write userCertificate) — требуется для возможности Публиковать сертификат КриптоПро 2.0 в профиль пользователя Active Directory.
- Нажмите ОК и затем Применить (Apply).
Если в домене чтение всех свойств пользователя запрещено политиками безопасности, то выдайте сервисной учетной записи права на чтение только необходимых атрибутов пользователей по таблице 1 и атрибутов объекта (домена, контейнера или подразделения), в котором располагаются пользователи Рутокен KeyBox.
- В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Рутокен KeyBox.
- Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):
- В списке Разрешений (Permissions) выберите Список содержимого (List contents).
- В списке Свойств (Properties) выберите пункты:
— Чтение: сanonicalName (Read сanonicalName);
— Чтение: Distinguished Name (Read Distinguished Name);
— Чтение: objectClass (Read objectClass);
— Чтение: objectGuid (Read objectGuid);
— Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).
3. Для области применения Дочерние объекты: Пользователь (Descendant user objects):
- В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
- В списке Свойств (Properties) выберите чтение (запись) следующих наборов свойств и атрибутов, соответствующих таблице 1:
— Чтение: личные сведения (Read personal Information);
— Чтение: общие сведения (Read general Information);
— Чтение: ограничения учетной записи (Read account restrictions);
— Чтение: открытые сведения (Read public Information);
— Запись: pwdLastSet (Write pwdLastSet);
— Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto);
— Запись: userAccountControl (Write userAccountControl);
— Запись: userCertificate (Write userCertificate).
Приведены отображаемые имена LDAP (LDAP Display Name).
Предоставление прав доступа к набору свойств значительно улучшает производительность и упрощает управление безопасностью (cм. Наборы свойств Active Directory).