Из этого раздела вы узнаете, как настроить Password Sync с помощью мастера настройки. Также это можно сделать из командной строки. Инструкции приведены в статье Как установить и настроить Password Sync с помощью командной строки.
Теперь нужно добавить домен Google Workspace и указать метод аутентификации.
Шаг 5 из 7
Шаг 1. Добавьте домен Google Workspace
- В меню Пуск выберите Password SyncДаДалее.
- Добавьте свой адрес электронной почты администратора Google Workspace.
Этот адрес будет использоваться для обновления паролей с помощью Password Sync. Он также будет указываться в журналах аудита в консоли администратора Google.
Важно! Прежде чем продолжить, войдите в консоль администратора с этим аккаунтом и примите Условия использования.
Шаг 2. Настройте метод аутентификации
При использовании сервисного аккаунта:
- Выберите Service Account (Сервисный аккаунт).
- Нажмите Load Credentials (Загрузить учетные данные) и выберите файл JSON своего сервисного аккаунта.
Значение Status (Статус) должно измениться на Authorized (Авторизовано).
Примечание. Файл JSON содержит ключ для доступа к домену Google. После аутентификации этот файл следует удалить из системы.
При использовании трехстороннего протокола OAuth:
- Выберите 3-legged OAuth (Трехсторонний протокол OAuth)Authorize Now (Авторизовать).
- Когда появится запрос, войдите в аккаунт Google, используя адрес электронной почты, с помощью которого вы настроили трехсторонний протокол OAuth, и нажмите Continue (Продолжить).
- При необходимости введите имя пользователя и пароль администратора и нажмите Войти.
- Выберите Разрешить.
Откроется страница с сообщением "Авторизация прошла успешно. Откройте приложение".
-
Закройте браузер и вернитесь в Password Sync. Значение Status (Статус) должно измениться на Authorized (Авторизовано).
- Если в Password Sync не отображается статус Authorized (Авторизовано), значит авторизация завершилась с ошибкой. Она будет описана в сообщении в нижней части экрана конфигурации Password Sync. Обычно авторизация блокируется из-за того, что пользователь не является суперадминистратором или на сервере неправильно указано время или часовой пояс.
Шаг 3. Настройте метод доступа к авторизации
- Нажмите Next (Далее).
- Выберите метод доступа к авторизации, с помощью которого Password Sync будет отправлять запросы в каталог Microsoft Active Directory. Подробнее о методах доступа к авторизации (ниже)…
- В поле Base distinguished name (DN) (Базовое уникальное имя) выберите значение по умолчанию или введите другое уникальное имя.
Если вы используете Google Cloud Directory Sync (GCDS), этот параметр обычно совпадает с базовым уникальным именем в настройках GCDS.
- В поле Mail Attribute (Почтовый атрибут) введите почтовый атрибут домена Active Directory, определяющий адрес электронной почты Google для каждого пользователя. Как правило, используется атрибут mail.
Указанные в нем значения должны совпадать с адресом электронной почты Google, включая доменную часть. Атрибут может быть другим, если в GCDS включен параметр Replace domain names in LDAP email addresses (Заменять доменные имена в адресах электронной почты LDAP).
- Нажмите Next (Далее).
Если все правильно, вы увидите, что конфигурация сохранена, а сервис запущен.
- Нажмите Finish (Готово).
- Повторите эти шаги для каждого контроллера в домене.
Методы доступа к авторизации
Метод доступа | Описание |
---|---|
Application’s Security Context (Контекст безопасности приложения) |
Рекомендуемое значение, которое используется по умолчанию. Password Sync запускается в контексте безопасности аккаунта NetworkService, а не аккаунта пользователя. Выберите этот параметр, если вы используете контроллеры домена Server Core или настраиваете Password Sync с помощью командной строки. |
Anonymous (Анонимный) | Password Sync использует для аутентификации интерфейс ADSI (Active Directory Service Interfaces).
Не рекомендуем использовать анонимный доступ, поскольку он не поддерживается большинством конфигураций Active Directory. |
User Credentials (Учетные данные пользователя) |
Password Sync действует от имени авторизованного пользователя. Он не обязан быть администратором домена. Это может быть пользователь с другой ролью, у которого есть разрешения на создание списка содержимого, а также на просмотр всех свойств и разрешений в отношении данного объекта и всех его дочерних объектов. Этот аккаунт получает адреса электронной почты пользователей Active Directory, пароли которых синхронизируются, поэтому у него должно быть разрешение на чтение их почтовых атрибутов. Если вы выберете этот вариант, заполните поля Authorized User (Авторизованный пользователь) и Password (Пароль). |
Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.