Тестирование процедуры аутентификации на сервере каталогов для учетной записи администратора

Можно проверить, выполняет ли сервер Active Directory или LDAP аутентификацию имени пользователя и пароля для созданной учетной записи администратора. Проверка показывает, правильно ли были добавлены имя пользователя и пароль, а также существует ли данное имя учетной записи на сервере каталогов.
В
Symantec Endpoint Protection Manager
используются те же имя пользователя и пароль для учетной записи администратора, что и на сервере каталогов. Когда администратор входит на сервер управления, сервер каталогов аутентифицирует его имя и пароль. Сервер управления использует конфигурацию сервера каталогов, добавленную для поиска учетной записи на сервере каталогов.
Можно также проверить, выполняет ли сервер Active Directory или LDAP аутентификацию учетной записи администратора без имени пользователя и пароля. Учетная запись без имени пользователя и пароля предоставляет анонимный доступ. Учетную запись администратора с анонимным доступом необходимо создать для того, чтобы доступ администраторов не оказался заблокированным при смене пароля на сервере каталогов.
На сервере Active Directory в ОС Windows 2003 анонимная аутентификация по умолчанию отключена. Поэтому если добавить в учетную запись администратора сервер каталогов без имени пользователя и нажать
Проверить учетную запись
, появится сообщение об ошибке:
Не удалось выполнить аутентификацию учетной записи
. Для обхода этой проблемы создайте две записи сервера каталогов: одну для тестирования, а другую для анонимного доступа. Администратор может продолжать входить на сервер управления, используя действительные имя пользователя и пароль.
Шаг 1. Добавьте несколько соединений с сервером каталогов
Чтобы облегчить тестирование анонимного доступа, добавьте по крайней мере две записи сервера каталогов. Используйте одну запись для тестирования аутентификации, а другую — для тестирования анонимного доступа. Во всех этих записях используется один и тот же сервер каталогов, но с разными конфигурациями.
По умолчанию большинство пользователей находится в организационном подразделении CN=Users, если они не были перемещены в другое организационное подразделение. Пользователи на сервере каталогов LDAP создаются с помощью записи следующего вида: CN=Users, DC=<
sampledomain
>, DC=local. Чтобы узнать расположение пользователя в LDAP, используйте программу ADSIEdit.
Для настройки серверов каталогов в этом примере используйте следующую информацию.
  • CN=John Smith
  • OU=test
  • DC=<
    sampledomain
    >
  • DC=local
В этом примере используется стандартный протокол LDAP для Active Directory (порт 389), но можно также использовать защищенный протокол LDAP (порт 636).
  1. Чтобы добавить соединения сервера каталогов для проверки активного каталога и проверки подлинности сервера LDAP, на консоли нажмите
    Администрирование
     >
    Cерверы
    , выберите сервер по умолчанию и нажмите
    Изменить свойства сервера
    .
  2. На вкладке
    Серверы каталогов
    щелкните
    Добавить
    .
  3. На вкладке
    Общие
    добавьте следующие конфигурации сервера каталогов и нажмите кнопку
    ОК
    .
    Каталог 1
    • Имя:
      <
      sampledomain
      > Active Directory
    • Тип сервера
      :
      Active Directory
    • Имя или IP-адрес сервера:
      server01.<
      sampledomain
      >.local
    • Имя пользователя:
      <
      sampledomain
      >\administrator
    • Пароль:
      <
      пароль сервера каталогов
      >
    Каталог 2
    • Имя:
      <
      sampledomain
      > LDAP с именем пользователя
    • Тип сервера:
      LDAP
    • Имя или IP-адрес сервера:
      server01.<
      sampledomain
      >.local
    • Порт LDAP:
      389
    • Базовое отличительное имя LDAP:
      DC=<
      sampledomain
      >, DC=local
    • Имя пользователя:
      <
      sampledomain
      >\administrator
    • Пароль:
      <
      пароль сервера каталогов
      >
    Каталог 3
    • Имя:
      <
      sampledomain
      > LDAP без имени пользователя
    • Тип сервера:
      LDAP
    • Имя или IP-адрес сервера:
      server01.<
      sampledomain
      >.local
    • Порт LDAP:
      389
    • Базовое отличительное имя LDAP:
      <пусто>
      Оставьте это поле пустым, если используете анонимный доступ.
    • Имя пользователя:
      <пусто>
    • Пароль:
      <пусто>
      После нажатия кнопки
      ОК
      появится предупреждение. Однако сервер каталогов будет действительным.
      При попытке добавить базовое отличительное имя без имени пользователя и пароля появится предупреждение.
Шаг 2. Добавьте несколько учетных записей администратора
Добавьте несколько учетных записей системного администратора. Учетная запись, используемая для анонимного доступа, не содержит имя пользователя и пароль.
  1. Чтобы добавить учетные записи администратора с помощью записей сервера каталога, на консоли нажмите
    Администратор
     >
    Администраторы
    и на вкладке
    Общие
    добавьте учетные записи администратора в предыдущем шаге.
  2. После добавления каждой учетной записи администратора и выбора команды
    Проверить учетную запись
    появляется сообщение. В некоторых случаях сообщение указывает на недействительность информации учетной записи. Тем не менее администратор может выполнить вход в систему
    Symantec Endpoint Protection Manager
    .
  3. На вкладке
    Общие
    введите указанные ниже сведения.
    Администратор 1
    • Имя:
      <
      sampledomain
      > LDAP без имени пользователя
    • Тип сервера:
      LDAP
    • Имя или IP-адрес сервера:
      server01.<
      sampledomain
      >.local
    • Порт LDAP:
      389
    • Базовое отличительное имя LDAP:
      <пусто>
      Оставьте это поле пустым, если используете анонимный доступ.
    • Имя пользователя:
      <пусто>
    • Пароль:
      <пусто>
      После нажатия кнопки
      ОК
      появится предупреждение. Однако сервер каталогов будет действительным.
      При попытке добавить базовое отличительное имя без имени пользователя и пароля появится предупреждение.
    Администратор 2
    • Имя пользователя:
      john
    • Полное имя:
      John Smith
    • Адрес электронной почты:
      [email protected]<
      sampledomain
      >.local
    • На вкладке
      Права доступа
      щелкните
      Системный администратор
      .
    • На вкладке
      Аутентификация
      щелкните
      Аутентификация с помощью каталога
      .
      В раскрывающемся списке
      Сервер каталогов
      выберите <
      sampledomain
      > LDAP с именем пользователя.
      В поле
      Имя учетной записи
      введите
      john
      .
      Нажмите
      Проверить учетную запись
      .
      Системный администратор
      john
      не может войти в
      Symantec Endpoint Protection Manager
      с аутентификацией с помощью каталога.
    Администратор 3
    • Имя пользователя:
      john
    • Полное имя:
      John Smith
    • Адрес электронной почты:
      [email protected]<
      sampledomain
      >.local
    • На вкладке
      Права доступа
      щелкните
      Системный администратор
      .
    • На вкладке
      Аутентификация
      щелкните
      Аутентификация с помощью каталога
      .
      В раскрывающемся списке
      Сервер каталогов
      выберите <
      sampledomain
      > LDAP с именем пользователя.
      В поле
      Имя учетной записи
      введите
      John Smith
      .
      Нажмите
      Проверить учетную запись
      .
      Системный администратор
      john
      может войти в
      Symantec Endpoint Protection Manager
      , используя аутентификацию с помощью каталога.
    Администратор 4
    • Имя пользователя:
      john
    • Полное имя:
      John Smith
    • Адрес электронной почты:
      [email protected]<
      sampledomain
      >.local
    • На вкладке
      Права доступа
      щелкните
      Системный администратор
      .
    • На вкладке
      Аутентификация
      щелкните
      Аутентификация с помощью каталога
      .
      В раскрывающемся списке
      Сервер каталогов
      выберите <
      sampledomain
      > LDAP без имени пользователя.
      В поле
      Имя учетной записи
      введите
      John Smith
      .
      Нажмите
      Проверить учетную запись
      .
      Произойдет сбой аутентификации, но системный администратор
      John Smith
      сможет войти в
      Symantec Endpoint Protection Manager
      .