Copy LDAP

Настройте каталог пользователей Рутокен KeyBox. Поддерживаются следующие службы LDAP-каталогов:

• Active Directory;
• FreeIPA;
• ALD Pro.

Каталог пользователей LDAP может быть составным. В этом случае пользователи будут расположены в разных контейнерах одного домена или в нескольких доменах.

Active Directory

Чтобы настроить каталог пользователей:

1. Подготовьте в Active Directory объект (домен, контейнер, подразделение) с конечными пользователями.
2. Создайте сервисную учетную запись для чтения и записи атрибутов пользователей. Вы можете распределить права между несколькими сервисными учетными записями или создать одну сервисную учетную запись с максимальным набором прав доступа к объектам Active Directory.
3. Откройте свойство Безопасность (Security) объекта, где хранятся пользователи Рутокен KeyBox.
4. Нажмите Дополнительно (Advanced). Нажмите Добавить (Add)→Выбрать субъект (Select a principal).
5. В текстовом поле Введите имена выбираемых объектов (Enter the object name to select) введите имя сервисной учетной записи и нажмите ОК.
6. В выпадающем списке Применяется к (Applies to) выберите Дочерние объекты: Пользователь (Descendant User objects).
7. В списке Разрешений (Permissions) выберите:
   • Список содержимого (List contents);
   • Прочитать все свойства (Read all properties). По умолчанию разрешение на чтение всех свойств пользователя имеется у всех учетных записей домена;
   • Сброс пароля (Reset password) для возможности сбросить пароль пользователя.
8. В списке Свойств (Properties) отметьте пункты:
   • Запись: pwdLastSet (Write pwdLastSet) для возможности сбросить пароль пользователя;
   • Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto) для загрузки фотографии пользователя в Active Directory;
   • Запись: userAccountControl (Write userAccountControl) для работы опции Требовать логон по смарт-карте;
   • Запись: userCertificate (Write userCertificate) для публикации сертификата КриптоПро 2.0 в профиле пользователя Active Directory.
9. Нажмите ОК и Применить (Apply).

Предоставление прав на чтение данных

Если политики безопасности домена запрещают чтение всех свойств пользователя, выдайте сервисной учетной записи права на чтение атрибутов пользователей и атрибутов объекта, где хранятся пользователи Рутокен KeyBox:

1. В оснастке Редактирование ADSI (ADSI edit) откройте свойство Безопасность (Security) объекта, где хранятся пользователи Рутокен KeyBox.

2. Для области применения Этот объект и все дочерние объекты (This object and all descendant objects):

   1. В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
   2. В списке Свойств (Properties) отметьте пункты:
      • Чтение: сanonicalName (Read сanonicalName);
      • Чтение: Distinguished Name (Read Distinguished Name);
      • Чтение: objectClass (Read objectClass);
      • Чтение: objectGuid (Read objectGuid);
      • Чтение: showInAdvancedViewOnly (Read showInAdvancedViewOnly).

3. Для области применения Дочерние объекты:Пользователь (Descendant user objects):

   1. В списке Разрешений (Permissions) отметьте Список содержимого (List contents).
   2. В списке Свойств (Properties) выберите чтение/запись следующих наборов свойств и атрибутов:
      • Чтение: личные сведения (Read personal Information);
      • Чтение: общие сведения (Read general Information);
      • Чтение: ограничения учетной записи (Read account restrictions);
      • Чтение: открытые сведения(Read public Information);
      • Запись: pwdLastSet (Write pwdLastSet);
      • Запись: thumbnailPhoto (Write thumbnailPhoto) или Запись: jpegPhoto (Write jpegPhoto);
      • Запись: userAccountControl (Write userAccountControl);
      • Запись: userCertificate (Write userCertificate).

Атрибуты, используемые Рутокен KeyBox при работе с каталогом пользователей Microsoft AD

FreeIPA

Чтобы настроить каталог пользователей:

1. Войдите в веб-версию FreeIPA под учетной записью администратора.
2. Создайте сервисную учетную запись для работы с каталогом пользователей. На вкладке Идентификация (Identity)→Пользователи (Users) нажмите Добавить (Add) и создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
3. Создайте разрешение для чтения и поиска данных в каталоге:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите read, search.
   5. В строке Поддерево (Subtree) введите имя домена в формате Distinguished name.
   6. Выберите Действующие атрибуты (Effective attributes): entryUUID.
4. Создайте разрешение для записи данных в каталог:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите write.
   5. В выпадающем списке Тип (Type) выберите Пользователь.
   6. Выберите Действующие атрибуты (Effective attributes):
      • userPassword для возможности сбросить пароль пользователя;
      • krbPasswordExpiration для возможности указать срок действия пароля пользователя;
      • userCertificate для публикации сертификата КриптоПро 2.0 в профиле пользователя;
      • jpegPhoto для загрузки фотографии пользователя.
5. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
6. Создайте привилегию и добавьте в нее созданные разрешения.
7. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
8. В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
9. Назначьте роль на пользователя:
   1. В разделе Роли (Roles) выберите созданную роль.
   2. В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.

Атрибуты, используемые Рутокен KeyBox при работе с каталогом пользователей FreeIPA

ALD Pro

Чтобы настроить каталог пользователей:

1. Войдите в веб-версию ALD Pro под учетной записью администратора.
2. Создайте сервисную учетную запись для работы с каталогом пользователей и назначьте необходимые привилегии:
   1. Запустите оснастку ALD Pro Пользователи и компьютеры, в выпадающем меню выберите Пользователи.
   2. Нажмите Новый пользователь и создайте пользователя. По умолчанию созданный пользователь состоит в служебной доменной группе ipausers.
3. Чтобы создать разрешения, привилегии и роль для работы с каталогом пользователей, используйте оболочку FreeIPA в ALD Pro: в адресной строке замените ad на ipa. Например, https://dc/ipa/ui/#/login.
4. Создайте разрешение для чтения и поиска данных в каталоге:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите read, search.
   5. В строке Поддерево (Subtree) укажите имя объекта с пользователями или имя домена в формате Distinguished name.
   6. Выберите Действующие атрибуты (Effective attributes): entryUUID.
5. Создайте разрешение для записи данных в каталог:
   1. На вкладке IPA-сервер (IPA Server) в выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Разрешения (Permissions) и нажмите Добавить (Add).
   2. Укажите имя разрешения.
   3. В строке Тип правила привязки (Bind rule type) выберите permission.
   4. В строке Предоставленные права (Granted Rights) выберите write.
   5. В выпадающем списке Тип (Type) выберите Пользователь.
   6. Выберите Действующие атрибуты (Effective attributes):
   • userPassword для возможности сбросить пароль пользователя;
   • krbPasswordExpiration для возможности указать срок действия пароля пользователя;
   • userCertificate для публикации сертификата КриптоПро 2.0 в профиле пользователя;
   • jpegPhoto для загрузки фотографии пользователя.
6. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Привилегии (Privileges) и нажмите Добавить (Add).
7. Создайте привилегию и добавьте в нее созданные разрешения.
8. В выпадающем списке Управление доступом на основе ролей (Role-Based Access Control) выберите Роли (Roles), нажмите Добавить (Add) и создайте роль.
9. В разделе Роли (Roles) перейдите на вкладку Привилегии (Privileges) и добавьте созданную привилегию в роль.
10. Назначьте роль на пользователя:
    1. В разделе Роли (Roles) выберите созданную роль.
    2. В открывшемся списке пользователей нажмите Добавить (Add) и выберите созданного пользователя.

Атрибуты, используемые Рутокен KeyBox при работе с каталогом пользователей ALD Pro