Active Directory |
Прокрутить Назад Начало Далее Больше |
Опции Active Directory в менюУчетные записи » Настройки учетной записи » Active Directoryпозволяют настроить мониторинг службы каталогов Active Directory и автоматически создавать, изменять, удалять и отключать учетные записи MDaemon синхронно с учетными записями Active Directory. Мониторинг также может автоматически обновлять все публичные записи контактов при изменении сведений вActive Directory, включая такие поля как почтовый адрес, номера телефонов и другие.
Создание учетных записей
После включения мониторинга сервер MDaemon периодически запрашивает изменения у службы каталогов и автоматически создает у себя новую учетную запись при ее появлении в Active Directory. Полное имя пользователя и имя для входа в систему, почтовый ящик и состояние учетной записи (включена/отключена) берутся из Active Directory.
По умолчанию MDaemon создает новые учетные записи в домене по умолчанию. Вы также можете добавлять их в домен, указанный в атрибуте "UserPrincipalName" учетной записи Active Directory. При использовании этой опции, если для учетной записи требуется домен, который еще не существует в MDaemon, новый доменв MDaemon создается автоматически.
В качестве альтернативы вы можете настроить свой Фильтр поиска для мониторинга группы в Active Directory, поэтому добавление пользователя в группу или группы для пользователя приведет к созданию пользователя в MDaemon, а удаление пользователя из группы - к его отключению (но не удалению) в MDaemon.
Удаление учетных записей
При удалении учетной записи в каталоге Active Directory сервер MDaemon может выполнить одно из следующих действий: ничего не делать, удалить соответствующую учетную запись у себя, отключить или заморозить учетную запись (т. е. учетная почта для учетной записи будет приниматься, но получить ее она не сможет).
Обновление учетных записей
При изменении учетных записей в каталоге Active Directory сервер MDaemon автоматически вносит соответствующие изменения в свою базу данных пользователей.
Синхронизация MDaemon с Active Directory
Опция "Произвести полное сканирование AD сейчас" позволяет MDaemon запросить данные из каталога Active Directory и затем при необходимости создать или изменить учетные записи MDaemon. Когда в Active Directory обнаруживается учетная запись, соответствующая учетной записи MDaemon, эти записи связываются. После чего любые изменения в учетной записи Active Directory будут автоматически синхронизироваться с учетной записью MDaemon.
Авторизация Active Directory
Учетные записи, созданные с помощью функции Active Directory, по умолчанию настраиваются на использование AD-авторизации (Active Directory). Сервер MDaemon не хранит пароли таких учетных записей в своей базе данных. При подключении к MDaemon владелец учетной записи с AD-авторизацией использует свои имя и пароль для входа Windows, а MDaemon лишь передает эти данные серверу Windows для авторизации.
Чтобы использовать авторизацию Active Directory, необходимо указать имя домена Windows в полеМониторинг. Это должен быть домен Windows, к которому MDaemon будет обращаться для авторизации учетных записей. В большинстве случаев MDaemon автоматически определяет этот домен Windows и заполняет поле сам. Тем не менее, вы можете использовать любой другой домен или макрос "NT_ANY", если вы хотите разрешить авторизацию во всех доменах, а не ограничиваться только одним. Если вы оставите это поле пустым, MDaemon не будет использовать AD-авторизацию при создании новых учетных записей. Вместо этого будет создаваться случайный пароль, который вам нужно будет отредактировать вручную прежде, чем пользователи смогут получить доступ к своим почтовым ящикам.
Постоянный мониторинг
Мониторинг Active Directory будет продолжаться даже после закрытия MDaemon. Все изменения в учетных записях Active Directory будут отслежены и обработаны при следующем запуске MDaemon.
Безопасность файлов Active Directory
Необходимо отметить, что функции Active Directory в MDaemon никак не меняют файлы схемы Active Directory - процедура мониторинга является односторонней. Таким образом, MDaemon не вносит изменений в службу каталогов.
Шаблон Active Directory
Когда MDaemon добавляет или изменяет учетные записи в рамках процедуры мониторинга Active Directory, он использует шаблон Active Directory ("MDaemon/app/ActiveDS.dat") для связки атрибутов Active Directory с полями учетной записи MDaemon. Например, MDaemon по умолчанию связывает атрибут Active Directory "cn" с полем "FullName" Mdaemon. Однако, эти связи запрограммированы не жестко. При желании вы можете легко отредактировать указанный шаблон в Блокноте и изменить связи нужным вам образом. Например, запись "FullName=%givenName% %sn%" заменяет настройку по умолчанию: "FullName=%cn%". См. также:ActiveDS.dat.
Функция мониторинга может периодически опрашивать Active Directory и поддерживать в актуальном состоянии все публичные записи контактов MDaemon. Стандартные поля публичной записи контакта, такие как почтовый адрес, номера телефонов, контактная информация и т. п., обновляются при изменении соответствующих данных в Active Directory. Эта функция включается опцией "Выполнять мониторинг Active Directory и обновлять адесные книги" в менюActive Directory » Мониторинг.
Мониторинг может применяться для обновления различный полей контакта. Полный список полей публичной записи контакта, которые можно сопоставить с атрибутами Active Directory, приводится в комментариях в файлеActiveDS.dat. Файл ActiveDS.dat получил ряд новых шаблонов сопоставления, позволяющих задать один или несколько атрибутов AD, откуда нужно брать данные для заполнения полей контакта (например,%fullName%для поля полного имени, %streetAddress% для адреса контакта и т. д.).
Чтобы узнать, какие контакты требуется обновить, MDaemon должен сопоставить адрес электронной почты с определенным атрибутом Active Directory. Если сервер не может выполнить такое сопоставление, то ничего не происходит. По умолчанию MDaemon пытается сконструировать адрес электронной почты, используя данные из атрибута, привязанного к шаблону Mailbox (см. файлActiveDS.dat).MDaemon добавляет к этим данным имя домена по умолчанию, действуя так же, как и при создании и удалении учетных записей на основе данных Active Directory. Однако вы можете раскомментировать шаблон "abMappingEmail" в файлеActiveDS.dat и привязать его к требуемому атрибуту AD (например, к%mail%). Важно понимать, что MDaemon ожидает, что указанный вами атрибут содержит адрес электронной почты, который можно интерпретировать как допустимую учетную запись локального пользователя.
Если записи контактов отсутствуют, данная функция создает их на лету; если есть - обновляет. Обратите внимание, что при этом теряются все изменения, внесенные вне Active Directory. Поля, не сопоставленные с атрибутами AD, никак не затрагиваются, поэтому их содержание не меняется. Кроме того, MDaemon не создает и не обновляет записи контактов для учетных записей, помеченных как спрятанные.
См. также:
Active Directory » Авторизация