Общие сведения

Продукт «Служба каталогов "Эллес"» обеспечивает хранение, поиск и иерархическое представление информации о ресурсах в сети организации (пользователи, компьютеры, группы, зоны и записи DNS и т. д.) для целей централизованного управления, разрешения имен и применения групповых политик. Также продукт выполняет роль поставщика идентифицирующих данных (Identity Provider) и обеспечивает аутентификацию по протоколам Kerberos, LDAP и NTLM актуальных версий.

description-toc.adoc

Установка

Инструкции по установке компонентов продукта
Как сообщить о проблеме или ошибке

Инструкции по сбору и предоставлению диагностической информации при возникновении проблемы или ошибки в работе компонентов продукта
Логирование

Настройка формата, состава и процесса сбора логов, формируемых компонентами продукта
Мониторинг

Описание доступных метрик мониторинга и инструкции по настройке их сбора
Работа с веб-интерфейсом DSM

Инструкции по администрированию службы каталогов с помощью веб-интерфейса приложения «Менеджер службы каталогов» (DSM)
Работа с инструментами командной строки

Инструкции по администрированию службы каталогов с помощью samba-tool и других утилит командной строки
Настройка DSM

Инструкции по настройке приложения «Менеджер службы каталогов»
Резервное копирование и восстановление

Информация о доступных режимах и инструментах резервного копирования и восстановления домена

Новое в версии

Дата выпуска: 2024-12-22.

Компоненты:

Directory Service Manager 2.9.0;
Эллес 1.12.0;
inno-samba-dc-exporter 1.7.3;
Directory Service Installer 1.0.5.

Реализовано:

форма передачи FSMO-ролей в модуле «Пользователи и компьютеры» (DSM);
форма передачи FSMO-ролей в модуле «Домены и доверия» (DSM);
вкладка Управляется для домена (DSM);
создание объектов групповых политик (DSM);
работа с Password Settings Objects (PSO) (DSM);
модуль «Мониторинг производительности» (DSM);
подсветка окружения, в котором установлен DSM (DSM);
просмотр вкладки Безопасность для пользователей (DSM);
периодическая проверка изменений ADMX/ADML-файлов (DSM);
логирование ошибок samba-tool (DSM);
поддержка членства в группах безопасности и рассылки в рамках леса и во внешнем (доверенном) лесе (Эллес);
восстановление каталога (гранулярное) в части возможности формирования результата сравнения двух баз в формате JSON-файла для подкоманды samba-tool ldapcmp и возможности формирования LDIF-файла для гранулярного восстановления базы по списку DN из JSON-файла (Эллес);
поддержка FSMO-ролей в качестве рядового контроллера домена (RID Master, Schema Master) (Эллес);
поддержка функциональности KDC в части "The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows", "Encryption and Checksum Specifications for Kerberos 5", "Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) Extension", "Public Key Cryptography for Initial Authentication (PKINIT) in Kerberos Protocol", "Privilege Attribute Certificate Data Structure", "Kerberos Key Distribution Center (KDC) Proxy Protocol" (Эллес);
поддержка функциональности доверительных отношений типа Realm (Эллес);
возможность запускать принудительную проверку ссылочных атрибутов путем модификации атрибута runLACheck в rootDse (Эллес);
регистронезависимая проверка cross-realm check по примеру MIT Kerberos (Эллес);
отдельный сервис для запросов метрик мониторинга (Эллес).

Изменено:

изменение пути по умолчанию для файла с логами; новый путь — /var/log/ (DSM);
переименование ranged_results в range_option(Эллес);
запрет для RODC операций над сайтами (Эллес);
механизм включения ROGC с помощью samba-tool (Эллес).

Исправлено:

работоспособность Swagger (DSM);
исправлена логика работы поиска субъектов безопасности (DSM);
исправлена ошибка валидации IP-адреса при создании A-записи (DSM);
сохранение значений предыдущих шагов в мастере создания доверительных отношений при возвращении назад (DSM);
корректное отображение версии GPM в модуле групповых политик (DSM);
работа с файлом Registry.pol, реплицированным с Windows (DSM);
вывод атрибута criticalSystemObject в API получения common entity (DSM);
проблемы API получения информации об атрибутах множества объектов (DSM);
отображение групповых политик в дочернем домене (DSM);
исправление уязвимости CVE-2024-38821 (DSM);
включение/выключение и сброс групповых политик, содержащих списки и элементы check box (DSM);
поддержка прописных и строчных символов в пути к файлу Regestry.pol на Linux и Windows (DSM);
исправление ошибки обработки больших файлов Registry.pol (DSM);
лишние запросы в бэкенд при открытии карточки пользователя (DSM);
передача локальных учетных данных при валидации траста (DSM);
маскирование пароля в логах (DSM);
некорректное поведение при повторном вводе (rejoin) в другой сайт (Эллес);
пользователи из доверенного/дочернего домена не могут пройти аутентификацию в своем домене в лесу с единственным сервером глобального каталога (GC) Эллес (Эллес);
невозможно добавить в список доступа к общему ресурсу пользователей из другого домена через оснастку Windows с единственным сервером глобального каталога (GC) Эллес в лесе (Эллес);
флаг proxiable и проблема с получением билета Kerberos на RODC Эллес (Эллес);
ошибка взаимодействия SSSD на клиенте (Эллес);
включение дополнительных атрибутов в глобальный каталог не работает (Эллес);
невозможно добавить в группы членов из другого домена через оснастку Windows с единственным сервером глобального каталога (GC) Эллес в лесе (Эллес);
проблемы репликации на контроллере домена RWDC Эллес (Эллес);
создаются сайты с некорректными именами (Эллес);
не удаляется автоматическое присоединение при добавлении нового вручную (Эллес);
KCC «вычищает» соединение для репликация PAS-партиции (Эллес);
не работает репликация по расписанию, если контроллеры домена разнесены по разным сайтам (Эллес);
некорректное построение репликационных ссылок при наличии 7 контроллеров домена (Эллес).

Новое в документации

Руководство по установке:

в разделе «Установка пакета dsm» удалена секция параметров pattern.

Руководство по эксплуатации:

в разделе «Логирование приложения "Менеджер службы каталогов"» удалена секция параметров pattern;
добавлен раздел «Настройка обработки связанных атрибутов»;
добавлен раздел «Настройка аутентификации с доменной учетной записью на сервере контроллера домена Эллес»;
добавлен раздел «Настройка политик аутентификации и силосов политик аутентификации»;
раздел «Репликация данных каталога»:
- в разделе уточнено описание механизмов репликации;
- раздел дополнен описанием доступных возможностей по настройке репликации;
раздел «Поддержка истории SID (SID History) для миграции объектов между доменами»:
- раздел переименован ; новое название — «Поддержка SID History и SID Filtering»;
- раздел дополнен информацией о поддержке механизма SID Filtering.

Руководство администратора, раздел «Работа с веб-интерфейсом»:

добавлены подразделы:
раздел «Редактирование объекта» дополнен подразделом «Редактирование нескольких объектов одновременно».

Руководство администратора, раздел «Работа с инструментами командной строки»:

раздел «Управление доверительными отношениями» дополнен описанием опций samba-tool для работы с атрибутом sIDHistory и механизмом SID Filtering;
раздел «Администрирование групп» дополнен описанием подкоманд settype, setscope, setmanagedby и membersflag;
раздел «Администрирование сайтов и подсетей»:
- раздел переименован; новое название — «Администрирование сайтов»;
- выделены или созданы подразделы:
добавлены разделы «Управление политиками аутентификации» и «Управление силосами политик аутентификации»;
раздел «Администрирование пользователей» дополнен описанием подкоманд auth policy и auth silo.