Document toolboxDocument toolbox

Nastavení - Active Directory

Owned by Pavel Novák
Last updated: Oct 25, 2019
2 min read

Zde administrátor nastavuje propojení na Active Directory pro ověřování uživatelů aplikace. Využívá k tomu následující formulář:

Jednotlivé položky nastavení mají následující význam:

Zapnout propojení s Active Directory

Tímto přepínačem napojení aplikace na Active Directory aktivujeme. Následně je třeba vyplnit zbytek konfiguračního formuláře, připojení otestovat a nastavení uložit.

Název

Toto pole slouží k pojmenování tohoto připojení. Nemá zatím žádný vliv na funkci, ale pokud bude v budoucnu implementována možnost napojení na více AD zároveň bude sloužit k jejich odlišení.

Adresa

IP nebo DNS adresa serveru, na kterém běží AD služba. Je třeba, aby bylo povolené spojení ze serveru aplikace SOFiE na tento AD server.

SSL

Přepínač určuje, zda je připojení k AD šifrované pomocí SSL nebo nikoliv.

Uživatel

Uživatelské jméno pro přihlášení do AD serveru, které má oprávnění na čtení informací z AD stromu (zjišťování existence uživatelů, skupin, apod.).

Heslo

Heslo výše uvedeného uživatele pro přihlášení do AD.

Strom uživatelů

Cesta k uzlu v Active Directory stromu, pod kterým se nachází všichni uživatelé, kteří mají mít do aplikace přístup. Množinu těchto uživatelů lze dále omezit pomocí skupiny, viz následující položka nastavení.

Povolená skupina

Pokud chceme povolené uživatele z výše uvedené části stromu dále omezit, můžeme vyžadovat jejich členství ve vybrané AD skupině, uvedené zde. V takovém případě bude povoleno pouze přihlášení uživatelů, kteří jsou členy této skupiny, ostatních ne. Členství ve skupině se zjišťuje řetězově, takže ve skupině může být jiná skupina a v té skupině další… až na konci musí být uživatel.

Atribut uživatelského jména

Vybírá mezi režimem ověřování uživatelských jmen ve tvaru “User Principal Name (UPN)”, nebo “sAMAccountName“. Active Directory musí tento zvolený režim podporovat a uživatelé potom k přihlášení musí používat uživatelské jméno v příslušném tvaru. Podrobnosti k těmto formám uživatelských jmen by měl znát správce Active Directory.

Výchozí doména

Aby uživatelé nemuseli zadávat celé plně kvalifikované uživatelské jméno včetně domény, je zde vyplněná výchozí doména k uživatelskému jménu při přihlašování doplněna automaticky.

Ukládat otisky hesel

Pokud je funkce zapnuta, je po každém úspěšném přihlášení uživatele proti jeho účtu v Active Directory uložen otisk jeho hesla lokálně v databázi uživatelů aplikace SOFiE. To umožní nouzové přihlášení těchto uživatelů i v situaci, kdy nefunguje (spojení na) AD server a uživatele tak v AD nelze ověřovat. Otisk hesla je samozřejmě uložen ve formě k tomu určeného kryptografického hashe a heslo z něj nelze nikdy zpětně získat, pouze lze ověřit, že se shoduje.

Tlačítko otestovat na konci formuláře s nastavením provede test, zda je přihlášení do AD uvedeným uživatelem funkční. Pokud tedy tento test nefunguje, nebude pravděpodobně fungovat ani ověřování uživatelů v AD.