Testowanie uwierzytelniania konta administratora na serwerze katalogowym

Można sprawdzić, czy serwer Active Directory lub LDAP uwierzytelnia nazwę użytkownika i hasło utworzonego konta administratora. Test ten sprawdza, czy prawidłowo dodano nazwę użytkownika i hasło, a także na serwerze katalogowym istnieje nazwa konta.
W programie
program Symantec Endpoint Protection Manager
należy użyć tej samej nazwy użytkownika i hasła konta administratora, co na serwerze katalogowym. Gdy administrator loguje się do serwera zarządzania, serwer katalogowy uwierzytelnia nazwę użytkownika i hasło administratora. Serwer zarządzania używa dodanej konfiguracji serwera katalogowego w celu wyszukiwania konta na serwerze katalogowym.
Można też sprawdzić, czy serwer Active Directory lub LDAP uwierzytelnia konto administratora bez żadnej nazwy użytkownika i hasła. Konto bez nazwy użytkownika i hasła to dostęp anonimowy. Należy utworzyć konto administratora zapewniające anonimowy dostęp, aby administratorzy nigdy nie zostali zablokowani w razie zmiany hasła na serwerze katalogowym.
Na serwerze Active Directory dla systemu Windows 2003 uwierzytelnianie anonimowe jest domyślnie wyłączone. W związku z tym, po dodaniu serwera katalogowego bez nazwy użytkownika do konta administratora i kliknięciu opcji
Sprawdź konto
wyświetlany jest komunikat o błędzie
Uwierzytelnienie konta nie powiodło się
. Aby rozwiązać ten problem, należy utworzyć dwa wpisy serwera katalogowego, jeden testowy, a drugi w celu dostępu anonimowego. Administrator może nadal zalogować się do serwera zarządzania przy użyciu prawidłowej nazwy użytkownika i hasła.
Krok 1: Dodanie wielu połączeń z serwerem katalogowym
Aby ułatwić testowanie anonimowego dostępu, należy dodać co najmniej dwa wpisy serwera katalogowego. Jeden wpis posłuży do testowania uwierzytelniania, a drugi wpis do testowania anonimowego dostępu. Wpisy te używają tego samego serwera katalogowego z różnymi konfiguracjami.
Domyślnie większość użytkowników znajduje się w kontenerze CN=Users, jeśli nie przeniesiono ich do innej jednostki organizacyjnej. Użytkownicy na serwerze katalogowym LDAP są tworzeni w obszarze CN=Users, DC=<
<przykładowa_domena>
>, DC=local. Aby znaleźć położenie użytkownika w usłudze LDAP, należy użyć narzędzia ADSIEdit.
Do skonfigurowania serwerów katalogowych do celów tego przykładu należy użyć następujących informacji:
  • CN=John Smith
  • OU=test
  • DC=<
    <przykładowa_domena>
    >
  • DC=local
W przykładzie użyto domyślnego portu Active Directory LDAP (389), ale można również użyć bezpiecznego portu LDAP (636).
  1. Aby dodać połączenia z serwerem katalogowym w celu sprawdzenia uwierzytelnienia serwera LDAP i usługi Active Directory, w konsoli kliknij pozycję
    Administrator
    >
    Serwery
    , wybierz serwer domyślny i kliknij pozycję
    Edytuj właściwości serwera
    .
  2. Na karcie
    Serwery katalogowe
    kliknij przycisk
    Dodaj
    .
  3. Na karcie
    Ogólne
    dodaj poniższe konfiguracje serwera katalogowego, a następnie kliknij przycisk
    OK
    .
    Katalog 1
    • Nazwa:
      <
      <przykładowa_domena>
      > Serwer Active Directory
    • Typ serwera:
      Active Directory
    • Adres IP lub nazwa serwera:
      server01.
      <przykładowa_domena>
      >.local
    • Nazwa użytkownika:
      <
      <przykładowa_domena>
      >\administrator
    • Hasło:
      <
      hasło serwera katalogowego
      >
    Katalog 2
    • Nazwa:
      <
      <przykładowa_domena>
      > LDAP z nazwą użytkownika
    • Typ serwera:
      LDAP
    • Adres IP lub nazwa serwera:
      server01.
      <przykładowa_domena>
      >.local
    • Port LDAP:
      389
    • BaseDN LDAP:
      DC=<
      <przykładowa_domena>
      >, DC=local
    • Nazwa użytkownika:
      <
      <przykładowa_domena>
      >\administrator
    • Hasło:
      <
      hasło serwera katalogowego
      >
    Katalog 3
    • Nazwa:
      <
      <przykładowa_domena>
      > LDAP bez nazwy użytkownika
    • Typ serwera:
      LDAP
    • Adres IP lub nazwa serwera:
      server01.
      <przykładowa_domena>
      >.local
    • Port LDAP:
      389
    • BaseDN LDAP:
      <puste>
      To pole pozostaw puste w razie używania dostępu anonimowego.
    • Nazwa użytkownika:
      <puste>
    • Hasło:
      <puste>
      Po kliknięciu przycisku
      OK
      wyświetlone zostanie ostrzeżenie. Serwer katalogowy jest jednak prawidłowy.
      W razie próby dodania nazwy BaseDN bez nazwy użytkownika i hasła wyświetlane jest ostrzeżenie.
Krok 2: Dodanie wielu kont administratorów
Należy dodać wiele kont administratorów systemu. Konto dostępu anonimowego nie ma nazwy użytkownika ani hasła.
  1. Aby dodać konta administratorów korzystając z wpisów serwera katalogowego, w konsoli kliknij pozycję
    Administrator
    >
    Administratorzy
    , po czym na karcie
    Ogólne
    dodaj konta administratorów w kroku poprzednim.
  2. Po dodaniu każdego konta administratora i kliknięciu opcji
    Sprawdź konto
    wyświetlany jest komunikat. W niektórych przypadkach komunikat jest wyświetlany w celu unieważnienia informacji o koncie. Administrator może jednak nadal zalogować się do programu
    program Symantec Endpoint Protection Manager
    .
  3. Na karcie
    Ogólne
    wprowadź następujące informacje:
    Administrator 1
    • Nazwa:
      <
      <przykładowa_domena>
      > LDAP bez nazwy użytkownika
    • Typ serwera:
      LDAP
    • Adres IP lub nazwa serwera:
      server01.
      <przykładowa_domena>
      >.local
    • Port LDAP:
      389
    • BaseDN LDAP:
      <puste>
      To pole pozostaw puste w razie używania dostępu anonimowego.
    • Nazwa użytkownika:
      <puste>
    • Hasło:
      <puste>
      Po kliknięciu przycisku
      OK
      wyświetlone zostanie ostrzeżenie. Serwer katalogowy jest jednak prawidłowy.
      W razie próby dodania nazwy BaseDN bez nazwy użytkownika i hasła wyświetlane jest ostrzeżenie.
    Administrator 2
    • Nazwa użytkownika:
      john
    • Imię i nazwisko:
      John Smith
    • Adres e-mail:
      [email protected]<
      <przykładowa_domena>
      >.local
    • Na karcie
      Prawa dostępu
      kliknij pozycję
      Administrator systemu
      .
    • Na karcie
      Uwierzytelnianie
      kliknij pozycję
      Uwierzytelnianie usług katalogowych
      .
      Z listy rozwijanej
      Serwer katalogowy
      wybierz pozycję <
      <przykładowa_domena>
      > LDAP z nazwą użytkownika.
      W polu
      Nazwa konta
      wpisz
      john
      .
      Kliknij opcję
      Sprawdź konto
      .
      Administrator systemu
      john
      nie może zalogować się do programu
      program Symantec Endpoint Protection Manager
      przy użyciu uwierzytelniania w katalogu.
    Administrator 3
    • Nazwa użytkownika:
      john
    • Imię i nazwisko:
      John Smith
    • Adres e-mail:
      [email protected]<
      <przykładowa_domena>
      >.local
    • Na karcie
      Prawa dostępu
      kliknij pozycję
      Administrator systemu
      .
    • Na karcie
      Uwierzytelnianie
      kliknij pozycję
      Uwierzytelnianie usług katalogowych
      .
      Z listy rozwijanej
      Serwer katalogowy
      wybierz pozycję <
      <przykładowa_domena>
      > LDAP z nazwą użytkownika.
      W polu
      Nazwa konta
      wpisz
      John Smith
      .
      Kliknij opcję
      Sprawdź konto
      .
      Administrator systemu
      john
      może zalogować się do programu
      program Symantec Endpoint Protection Manager
      przy użyciu uwierzytelniania w katalogu.
    Administrator 4
    • Nazwa użytkownika:
      john
    • Imię i nazwisko:
      John Smith
    • Adres e-mail:
      [email protected]<
      <przykładowa_domena>
      >.local
    • Na karcie
      Prawa dostępu
      kliknij pozycję
      Administrator systemu
      .
    • Na karcie
      Uwierzytelnianie
      kliknij pozycję
      Uwierzytelnianie usług katalogowych
      .
      Z listy rozwijanej
      Serwer katalogowy
      wybierz pozycję <
      <przykładowa_domena>
      > LDAP bez konta użytkownika.
      W polu
      Nazwa konta
      wpisz
      John Smith
      .
      Kliknij opcję
      Sprawdź konto
      .
      Uwierzytelnienie konta nie powiedzie się, ale administrator systemu
      John Smith
      może zalogować się do programu
      program Symantec Endpoint Protection Manager
      .