среда, марта 04, 2009

Настройка связки терминального сервера Windows и Novell Client

Небольшая преамбула: организация планирует внедрение СПО во всех представительствах страны. Сейчас разрабатывается готовое решение по замене имеющегося ПО и разработка системы единой авторизации пользователей. В качестве базы выбрана связка SLED, SLES/OES, eDirectory, Groupwise.

Теперь о проблеме: в организации используется 1С. Терминальные сервера используют Windows 2000/2003. AD по большей части в филиалах по стране нет. А если есть, то будет убираться. Возникла задача — убрать локальных пользователей и использовать для авторизации пользователей eDirectory.
На Windows устанавливается Novell Client (на момент написания заметки Novell Client 4.91 SP5). Для одного пользователя все неплохо — пароль локального пользователя синхронизируется с паролем пользователя eDirectory и после авторизации в eDirectory происходит вход пользователя в систему.



Но на терминальном сервере пользователей 20-30. И после авторизации в eDirectory мы получаем вот такое сообщение:



Естественно такая авторизация не удобна.

Наша задача избавиться от двойной авторизации. В наших дальнейших действиях мы предполагаем, что на Windows машине заведен пользователь, имеющий ограниченные права, которому разрешен вход через терминальное подключение. И данный пользователь указан в значении DefaultUsername в ветке HKLM\Software\Microsoft\Windows.

В редакторе реестра (regedit) открываем ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon и создаем строковые значения...



... следующего содержания:

AutoAdminLogon и присваиваем ему значение 1
AutoLogonCount и присваиваем ему значение отличное от 1
DefaultPasswod и присваиваем ему значение пароля пользователя, указанного в значении DefaultUserName.



Теперь переходим в ветку HKLM\Software\Novell\Login.

Создаем строковое значение AutoAdminLogon и присваиваем ему значение 0.

И создаем значение типа DWORD...



... следующего содержания:

AutoAdminQueryNDS и присваиваем ему значение 1.



В приложении Настройка служб терминалов переходим во вкладку "Подключения". В свойствах RDP-Tcp заходим во вкладку "Параметры входа". Ставим чекбокс в положение "Всегда использовать следующие сведения" и вводим данные пользователя, под которым будут выполняться терминальные подключения.



Перезагружаем систему. Все.

Небольшое дополнение: если, после завершения сеанса, опять возникает двойная авторизация, то необходимо в ветку HKLM\Software\Microsoft\Windows NT\CurrentVersion добавить строковое значение ForceAutoLogon и присвоить ему значение 1.

4 комментария:

unisa комментирует...

Насколько я понимаю, эта схема может работать, если кроме Windows и Linux (Suse, SLED), корпоративная сеть включает и UNIX сервера от AIX, Sun и HP ?

Pomka комментирует...

Думаю да. Смотреть надо на используемое ПО.

sHaggY_caT комментирует...

Спасибо Вам за Ваш блог :)

Анонимный комментирует...

Насколько я понимаю логин в терминальный сервер и на новел будет под одним именем для всех. Никакого разделения прав. Это не очень удобно.