5. Настройте Password Sync

Из этого раздела вы узнаете, как настроить Password Sync с помощью мастера настройки. Также это можно сделать из командной строки. Инструкции приведены в статье Как установить и настроить Password Sync с помощью командной строки.

Теперь нужно добавить домен Google Workspace и указать метод аутентификации.

Шаг 5 из 7

Шаг 1. Добавьте домен Google Workspace

1. В меню Пуск выберите Password SyncДаДалее.
2. Добавьте свой адрес электронной почты администратора Google Workspace.

   Этот адрес будет использоваться для обновления паролей с помощью Password Sync. Он также будет указываться в журналах аудита в консоли администратора Google.

   Важно! Прежде чем продолжить, войдите в консоль администратора с этим аккаунтом и примите Условия использования.

Шаг 2. Настройте метод аутентификации

При использовании сервисного аккаунта:

1. Выберите Service Account (Сервисный аккаунт).
2. Нажмите Load Credentials (Загрузить учетные данные) и выберите файл JSON своего сервисного аккаунта.

   Значение Status (Статус) должно измениться на Authorized (Авторизовано).

   Примечание. Файл JSON содержит ключ для доступа к домену Google. После аутентификации этот файл следует удалить из системы.

При использовании трехстороннего протокола OAuth:

1. Выберите 3-legged OAuth (Трехсторонний протокол OAuth)Authorize Now (Авторизовать).
2. Когда появится запрос, войдите в аккаунт Google, используя адрес электронной почты, с помощью которого вы настроили трехсторонний протокол OAuth, и нажмите Continue (Продолжить).
3. При необходимости введите имя пользователя и пароль администратора и нажмите Войти.
4. Выберите Разрешить.

   Откроется страница с сообщением "Авторизация прошла успешно. Откройте приложение".

5. Закройте браузер и вернитесь в Password Sync. Значение Status (Статус) должно измениться на Authorized (Авторизовано).

6. Если в Password Sync не отображается статус Authorized (Авторизовано), значит авторизация завершилась с ошибкой. Она будет описана в сообщении в нижней части экрана конфигурации Password Sync. Обычно авторизация блокируется из-за того, что пользователь не является суперадминистратором или на сервере неправильно указано время или часовой пояс.

Шаг 3. Настройте метод доступа к авторизации

1. Нажмите Next (Далее).
2. Выберите метод доступа к авторизации, с помощью которого Password Sync будет отправлять запросы в каталог Microsoft Active Directory. Подробнее о методах доступа к авторизации (ниже)…
3. В поле Base distinguished name (DN) (Базовое уникальное имя) выберите значение по умолчанию или введите другое уникальное имя.

   Если вы используете Google Cloud Directory Sync (GCDS), этот параметр обычно совпадает с базовым уникальным именем в настройках GCDS.

4. В поле Mail Attribute (Почтовый атрибут) введите почтовый атрибут домена Active Directory, определяющий адрес электронной почты Google для каждого пользователя. Как правило, используется атрибут mail.

   Указанные в нем значения должны совпадать с адресом электронной почты Google, включая доменную часть. Атрибут может быть другим, если в GCDS включен параметр Replace domain names in LDAP email addresses (Заменять доменные имена в адресах электронной почты LDAP).

5. Нажмите Next (Далее).

   Если все правильно, вы увидите, что конфигурация сохранена, а сервис запущен.

6. Нажмите Finish (Готово).
7. Повторите эти шаги для каждого контроллера в домене.

Методы доступа к авторизации

Метод доступа	Описание
Application’s Security Context (Контекст безопасности приложения)	Рекомендуемое значение, которое используется по умолчанию. Password Sync запускается в контексте безопасности аккаунта NetworkService, а не аккаунта пользователя. Выберите этот параметр, если вы используете контроллеры домена Server Core или настраиваете Password Sync с помощью командной строки.
Anonymous (Анонимный)	Password Sync использует для аутентификации интерфейс ADSI (Active Directory Service Interfaces). Не рекомендуем использовать анонимный доступ, поскольку он не поддерживается большинством конфигураций Active Directory.
User Credentials (Учетные данные пользователя)	Password Sync действует от имени авторизованного пользователя. Он не обязан быть администратором домена. Это может быть пользователь с другой ролью, у которого есть разрешения на создание списка содержимого, а также на просмотр всех свойств и разрешений в отношении данного объекта и всех его дочерних объектов. Этот аккаунт получает адреса электронной почты пользователей Active Directory, пароли которых синхронизируются, поэтому у него должно быть разрешение на чтение их почтовых атрибутов. Если вы выберете этот вариант, заполните поля Authorized User (Авторизованный пользователь) и Password (Пароль).