Настройка работы с несколькими доменами

Docsvision поддерживает работу в одном или нескольких доменах. Для этого в конфигурационном файле модулей Платформа и Web-клиент поддерживается новая расширенная настройка доменных каталогов — параметр "Catalogs":

Возможность настройки со старыми параметрами настройки через параметр "Domains" (для модуля Платформа) и параметр "DefaultDomain" (для модуля Web-клиент) сохраняется.

В конфигурационных файлах настройка представлена следующим массивом: "Catalogs": []. Если в массиве есть хоть одно описание каталога, включается новая логика работы — будут учитываться только настройки из "Catalogs": [].

Пример заполнения:

"Catalogs": [
  {
    "FullDomainName": "example1.com", (1)
    "NetBiosDomainName": "example1", (2)
    "LdapOptions": { (3)
      "LdapServerAddresses": [ "example1.com" ], (4)
      "AuthType": "Basic", (5)
      "Credential": { (6)
        "UserName": "user@example1.com",
        "Password": "Password"
      }
    }
  },
  {
    "FullDomainName": "example2.com", (7)
    "ChallengeTo": "example1.com" (8)
  }
]

1	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
2	`NetBiosDomainName` — `NetBios`-имя домена указывается в формате `domain\\user` перед `\\`.
3	`LdapOptions` — настройки подключения к LDAP каталогу домена.
4	`LdapServerAddresses` — адреса серверов LDAP данного домена. Если адрес соответствует полному имени домену, параметр можно удалить.
5	`AuthType` — тип аутентификации в LDAP.
6	`Credential` — логин и пароль пользователя для подключения к LDAP-каталогам текущего домена. Пароль для подключения можно зашифровать, см. подробнее в документации по установке системы, раздел "Защита системной учётной записи".
7	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
8	`ChallengeTo` — настройка позволяет переадресовывать запросы от выбранного домена к каталогам указанного домена, см. далее.

Раздел Catalogs может содержать массив настроек вида:

 {
    "FullDomainName": "example.com", (1)
    "NetBiosDomainName": "EXAMPLE", (2)
    "LdapOptions": { (3)
      "LdapServerAddresses": [ "example.com" ], (4)
      "AuthType": "Basic", (5)
      "Port": 389, (6)
      "Credential": { (7)
        "UserName": "user@example.com",
        "Password": "Password"
      }
    }
}

1	`FullDomainName` — полное имя домена указывается в формате `user@example.com` учётной записи после `@`.
2	`NetBiosDomainName` — `NetBios`-имя домена указывается в формате `domain\\user` перед `\\`.
3	`LdapOptions` — настройки подключения к LDAP каталогу домена.
4	`LdapServerAddresses` — адреса серверов LDAP данного домена. Если адрес соответствует полному имени домену, параметр можно удалить.
5	`AuthType` — тип аутентификации в LDAP.
6	`Port` — порт подключения к LDAP каталогам, перечисленным в `LdapServerAddresses`.
7	`Credential` — логин и пароль пользователя для подключения к LDAP-каталогам текущего домена. Пароль для подключения можно зашифровать, см. подробнее в документации по установке системы, раздел "Защита системной учётной записи".

Настройка "ChallengeTo"

Для большей гибкости предусмотрена настройка ChallengeTo, позволяющая переадресовывать запросы от выбранного домена к каталогам указанного домена. Например, если пользователи в домене example.com, имеют учётную запись user@example1.com, конфигурационный файл можно изменить следующим образом:

{
    "FullDomainName": "example1.com",
    "NetBiosDomainName": "example1",
    "ChallengeTo": "example2.com"
}

Осуществляется проверка значения, указанного после @ (для UPN-формата) или до \ (для NT-формата), проводится поиск соответствия в Catalogs. Если у такого соответствия есть ChallengeTo, далее аутентификация пользователя будет проверяться по LDAP серверу того каталога, который указан у домена в ChallengeTo.

После выполнения вышеуказанной настройки аутентификация и получение информации о пользователе user@example1.com будут осуществляться в каталогах домена example2.com.

Настройка ChallengeTo применима именно при наличии UPN-суффиксов внутри одного домена, если доменов несколько, рекомендуется добавить столько же записей с указанием отдельных LDAP-серверов для этих доменов.

При такой настройке существует ограничение. Встроенная (сквозная) аутентификация будет работать только для тех пользователей домена, в который введен сервер на Linux.