Служба каталогов представляет собой средство централизованного хранения данных, организованных в виде древовидной (иерархической) структуры.
Модуль предназначен для выполнения следующих операций:
На первой странице панели управления производится настройка общих параметров работы сервера, таких как параметры приёма соединений (в том числе TLS), а так же создание и удаление баз данных (доменов). Вторая страница предназначена для конфигурации отдельных доменов.
В данном разделе расположен набор переключателей. Первые три из них: "Принимать только локальные соединения", "Включить порт LDAP" и "Включить порт LDAPS", предназначены для конфигурации режима приёма соединений.
Следующие переключатели управляют загрузкой дополнительных модулей службы каталогов: переключатель "Включить репликацию" управляет загрузкой модуля репликации данных 'syncprov', а переключатель "Включить политику паролей" загрузкой модуля 'ppolicy', расширяющего возможности сервера по аутентификации.
Настройка защищённого канала передачи данных требует указания набора параметров, для чего выделен отдельный раздел на основной странице панели управления.
Решающим параметром раздела является переключатель "Включить защиту транспортной подсистемы": если данная функция не включена, то конфигурация осуществляется в пассивном режиме, и остальные параметры TLS не обрабатываются сервером.
Следующая пара переключателей и связанных с ними полей предоставляет альтернативные способы указания сертификата Удостоверяющего Центра (УЦ). Первый вариант заключается в использовании единственного файла с одним или несколькими сертификатами доверяемых УЦ. Второй вариант позволяет использовать несколько сертификатов, каждый из которых находится в отдельном файле: для этого указывается путь к директории, содержащей сертификаты. Допустимым является использование обоих вариантов одновременно.
Для завершения конфигурации TLS, необходимо указать сертификат сервера, подписанный одним из доверяемых УЦ, чей сертификат был указан выше. Кроме файла сертификата требуется указать также путь к файлу с секретным ключом, необходимым для использования шифрования.
Дополнительной возможностью, повышающей безопасность системы, является проверка подлинности сертификата клиента, делающего запрос к серверу. Подлинность сертификата клиента должна быть подтверждена одним из доверяемых сервером УЦ. Данная процедура может выполняться в различных режимах, выбираемых с помощью параметра "Режим проверки сертификата клиента", принимающего фиксированный набор значений. Вариант "Никогда" соответствует поведению по умолчанию, при котором при подключении от клиента не требуется представление сертификата. Остальные варианты соответствуют постепенному ужесточению требований. Если выбран вариант "Допускается", то клиент может предоставить сертификат, и в этом случае будет выполнена попытка проверить его подлинность, но соединение будет установлено даже в случае если сертификат не пройдёт проверку или даже не будет представлен. Для следующего варианта "Попытка" клиент может установить соединение в двух случаях: не представляя сертификата, представляя подлинный с точки зрения сервера сертификат. Последний вариант "Обязательно" требует от клиента обязательного предоставления сертификата, заверенного одним из доверяемых УЦ.
Разделение данных на домены позволяет изолированно хранить данные и использовать различные параметры процедур при операциях с данными. Список зарегистрированных доменов отображается в таблице "Домены".
Для редактирования параметров домена необходимо перейти на отдельную страницу панели управления, переход осуществляется по ссылке "редактировать" в последнем столбце таблицы. Удалить домен можно отметив его в таблице и нажав на кнопку "Удалить выделенные" (домены).
Зарегистрировать новый домен можно указав его имя в поле "Новый домен", расположенном внизу страницы, и нажав на кнопку "Создать". После этого панель управления будет переведена в режим редактирования параметров нового домена.
В число базовых параметров домена входят "Базовый DN", "DN администратора" и его пароль. Имя и пароль администратора домена позволяют подключаться к службе каталогов в режиме полного доступа и осуществлять любые изменения данных. Раздел формы завершается кнопками "Применить" и "Сброс", предназначенными для отправки введённых данных на обработку и возврату параметров в исходное состояние.
Настройка механизма политики паролей (политики аутентификации) производится в три этапа. Прежде всего должна быть включена загрузка соответствующего модуля расширения. За это отвечает параметр на основной странице панели управления. Следующим этапом является разрешение политики паролей в рамках конкретного домена, за это отвечает переключатель "Включить политику паролей" в разделе "Конфигурация политики паролей" на странице редактирования параметров домена.
В том случае, если предполагается использовать одинаковую политику для всех объектов домена (таких как учётные записи пользователей, групп и ЭВМ), то имя узла БД, содержащего описание политики, может быть указано в поле "Имя записи с политикой по умолчанию". В противном случае данное поле должно оставаться пустым.
Дополнительными параметрами конфигурации политики паролей на уровне домена, является переключатель шифрования открытых паролей и переключатель кода возврата, позволяющий включить оповещение клиента о том, что запись заблокирована (повышает прозрачность системы, и, соответственно, понижает уровень безопасности). Раздел формы завершается кнопками "Применить" и "Сброс", предназначенными для отправки введённых данных на обработку и возврату параметров в исходное состояние.
В том случае, если в числе общих параметров сервера, была включена поддержка репликации данных, то служба каталогов может работать в трёх режимах: в автономном, в ведущем и в ведомом. В первом случае сервер отклоняет любые попытки других серверов синхронизировать данные, во втором случае предоставляет данные для синхронизации, а в последнем -- производит запросы на синхронизацию данных к другим серверам.
За перевод сервера в ведущий режим отвечает переключатель "Включить ведущий режим". Дополнительными параметрами режима являются два порога по достижению любого из которых осуществляется передача данных для синхронизации: порог по количеству транзакций и временной порог. Данные параметры имеют по умолчанию значения 100 и 1, что означает что данные для синхронизации будут переданы либо после произведения 100 транзакций (100 изменений в БД), либо по истечении 1 минуты, в зависимости от того, какое событие наступит раньше. Раздел формы завершается кнопками "Применить" и "Сброс", предназначенными для отправки введённых данных на обработку и возврату параметров в исходное состояние.
За перевод сервера в ведущий режим отвечает переключатель "Включить ведомый режим". Дополнительными параметрами режима являются адрес (URL) ведущего сервера, куда отправляется запрос на синхронизацию, время ожидания ответа (с), имя корневого узла БД, поддерево которого синхронизируется, имя и пароль для подключения к ведущему серверу. В случае указания пустого имени и пароля будет осуществляться анонимный доступ к серверу. Раздел формы завершается кнопками "Применить" и "Сброс", предназначенными для отправки введённых данных на обработку и возврату параметров в исходное состояние.
Внимание! Новые настройки вступают в силу только после перезапуска службы. Осуществить это можно, воспользовавшись модулем «Системные службы».