Создание сервисной учетной записи для работы с каталогом пользователей Active Directory и хранилищем данных системы
Для полноценной работы системы Рутокен KeyBox необходимо наличие определенных прав доступа к объектам Active Directory.
В соответствии с принятой в вашей компании политикой безопасности, вы можете распределить привилегии между несколькими сервисными учетными записями, либо создать сервисную учетную запись с максимальным набором прав на управление системой.
Создайте сервисную учетную запись (например, servicecm), от имени которой будут выполняться операции сохранения и чтения данных в хранилище Active Directory.
Настройка каталога пользователей в Active Directory
Для начала дайте созданной сервисной учетной записи (servicecm) необходимые права для работы с объектом (доменом, контейнером, подразделением), в котором будут располагаться пользователи Рутокен KeyBox. Эта учетная запись будет использоваться для чтения и записи атрибутов пользователей.
Чтобы дать такие права:
- Откройте свойство Безопасность (Security) объекта (домена, контейнера или подразделения), в котором содержатся пользователи системы Рутокен KeyBox.
- Нажмите Дополнительно (Advanced). Нажмите кнопку Добавить (Add). Щелкните Выбрать субъект (Select a principal).
- В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи (servicecm) и нажмите ОК.
- В раскрывающемся списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
- В списке Разрешений (Permissions) поставьте галочки напротив:
- Список содержимого (List contents).
Прочитать все свойства (Read all properties).
Info По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена. - Сброс пароля (Reset password)
...
- — требуется для возможности Сброса пароля пользователя через интерфейс системы.
- В списке Свойств (Properties)
...
- выберите пункты:
- Запись: pwdLastSet (Write pwdLastSet)
...
- — требуется для возможности сброса пароля пользователя.
- Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto)
...
- — требуется для возможности Загрузки фотографии пользователю
...
- в Active Directory через интерфейс системы.
- Запись: userAccountControl (Write userAccountControl) -
...
- необходима для работы опции Требовать
...
- логин по смарт-карте.
- Запись: userCertificate (Write userCertificate) -
...
- требуется для возможности Публиковать сертификат КриптоПро 2.0 в профиль пользователя Active Directory.
- Нажмите ОК и затем Применить (Apply).
| Warning |
|---|
| Установите одинаковый набор прав сервисной учетной записи для каждого объекта (домена, контейнера или подразделения), в котором располагаются пользователи |
...
| Рутокен KeyBox. |