Перейти к основному содержимому
Версия: 1.20.1

Интеграция LDAP

Интеграция с LDAP позволяет подключить экземпляр к серверу LDAP или AD и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и другое.

Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com.

В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.

Система синхронизируется с сервером LDAP двумя способами:

  • через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье Запланированные задания.
  • через Автоматическую инициализацию (запускается при входе в систему) – когда пользователь входит в систему, система обновляет запрошенные данные. Настройте этот способ синхронизации через свойство user.ldap_autoprovision.
подсказка

Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).

Установка соединения LDAP

Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:

  1. Настройте сервер LDAP.
  2. Определите LDAP URL.
  3. (опционально) Добавьте сертификат для установки безопасного LDAP-соединения.
  4. Настройте LDAP.
  5. Проверите настройки.
  6. (опционально) Импортируйте данные.

Дополнительные инструменты для настройки LDAP-соединения:

Настройка LDAP-сервера


Чтобы настроить LDAP-соединение, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Серверы LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
  4. Скопируйте ID текущей записи.

Поля формы Сервер LDAP

ПолеОбязательноОписание
НаименованиеДаВведите название сервера.
Корневой каталогНетВведите относительно уникальное имя (RDN) каталога поиска.
Пример: dc=instance,dc=ru
АктивенНетУстановите флажок, чтобы активировать сервер.
Имя прльзователяДаУкажите логин пользователя для аутентификации в LDAP-соединения.
ПарольНетУкажите пароль сервера.
примечание

Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван.

Определение URL-адреса LDAP


Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.

Чтобы задать URL, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Адреса LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Поля формы Адрес LDAP

ПолеОбязательноОписание
URLДаВведите URL-адрес LDAP URL. Например: ldap://123.456.1.12:363.
АктивенНетУстановите флажок, чтобы активировать URL-адрес.
ПорядокНетУкажите порядок этого URL-адреса, если есть более одного похожего элемента. В этом случае они будут обрабатываться в порядке возрастания.
Операционный статусНетСтатус LDAP-соединения. Доступные значения:
  • Готов к соединению – резервный сервер настроен и готов к использованию.
  • Соединен – соединение установлено.
  • Нет соединения – система не синхронизуется с сервером.
  • Ошибка – что-то пошло не так. Проверьте Журнал LDAP.
Сервер LDAPДаУкажите соответствующий сервер.

Добавление сертификата


Если вам необходимо установить безопасное LDAP-соединение с помощью протоколов SSL, LDAPS через порт 636, вам нужно предоставить SSL-сертификат. Если у вас нет работающего сертификата, LDAP-соединение будет незащищенным. В таком случае используйте порт 389 (TCP/UDP).

Чтобы добавить SSL-сертификат, выполните следующие шаги:

  1. Перейдите в LDAP → Сертификаты.

  2. Нажмите Создать.

  3. Прикрепите файл SSL-сертификата.

    примечание

    Требования к сертификату

    • Для корректной работы сертификат должен быть корневым (CA).
    • Поддерживаемые форматы PEM (Privacy Enhanced Mail) имеют расширение .pem, .crt, .cer.
    • Файлы должны быть закодированы Base64 и начинаться со строки "----- BEGIN CERTIFICATE -----", а заканчиваться "----- END CERTIFICATE -----".
  4. После загрузки файла укажите Наименование сертификата и установите флажок Активен. Вы также можете добавить Краткое описание. Все остальные поля будут заполнены автоматически данными из прикрепленного файла.

  5. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Поля формы Сертификат

ПолеОбязательноОписание
НаименованиеДаУкажите наименование сертификата, по которому вы сможете идентифицировать его в списках.
ТемаНетАтрибуты сертификата. Это поле заполняется автоматически на основе данных сертификата. Вы можете найти больше информации об атрибутах в документации RFC 5280.
ЭмитентНетКем выдан сертификат. Поле заполняется автоматически.
Путь к файлуНетПоле не используется.
Краткое описаниеНетУкажите краткое описание сертификата.
АктивенНетУстановите флажок, чтобы сделать сертификат активным.
Действителен сНетДата, с которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата.
Действителен доНетДата, до которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата. SimpleOne не проверяет значение этого поля, однако соединение не будет установлено, если срок действия сертификата истек.
подсказка

Вы можете просмотреть список существующих сертификатов с формы записи Сервер LDAP. Для этого перейдите в связанный список Список сертификатов.

Настройка LDAP


После того как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.

Чтобы настроить LDAP, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Настройка LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Поля формы Настройка LDAP

ПолеОбязательноОписание
НаименованиеДаУкажите название настройки LDAP. Введенное наименование становится целью в записи Источника импорта.
АктивноНетУстановите флажок, чтобы активировать настройку LDAP и разрешить импорт данных.
Относительное уникальное имяНетВведите относительно отличительное имя (RDN) подкаталога для поиска.
Сервер LDAPДаУкажите сервер LDAP, содержащий каталог пользователей, групп и другую информацию, связанную с LDAP.
Чтобы настроить сервер, перейдите в Настройки LDAP → Серверы LDAP и выполните необходимые шаги.
ТаблицаДаВыберите целевую таблицу, в которой будут храниться данные с вашего сервера LDAP. Для пользователей выберите таблицу Пользователи (user).
Указанная целевая таблица используется для автоматической подготовки LDAP (автоматического создания пользователей в таблице Пользователи (user)).
ФильтрНетВведите строку фильтра, чтобы выбрать определенные записи для импорта из OU (организационное подразделение).
Например, этот фильтр определяет отрывок, как показано ниже:
  • квалифицируются как человек.
  • есть значение атрибута sn.
  • не компьютеры.
  • не отмечены как неактивные.
  • и условия входа не равны admin@simpleone.ru

(&(objectClass=person)(sn=)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=.admin@simpleone.ru)))
Дополнительные сведения о синтаксисе фильтра LDAP смотрите в соответствующем документе RFC.
Поле запросаНетУкажите имя атрибута на сервере LDAP для запроса записей.
В Active Directory чаще всего используется атрибут sAMAccountName. Другие серверы LDAP, как правило, используют атрибут cn.
Перечень атрибутовНетИспользуйте это поле, чтобы указать (включить и ограничить) атрибуты, возвращаемые запросом LDAP. Этот подход предпочтителен для больших объемов импорта LDAP для сокращения времени.
Если поле остается пустым, система загружает все объекты с их атрибутами, которые разрешено читать вашему LDAP-серверу.

Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.

Проверка настроек


Убедитесь, что соединение настроено, выполнив следующие действия:

  1. Передите в Настройки LDAP → Серверы LDAP.
  2. Откройте нужную запись.
  3. Нажмите Проверить соединение, чтобы проверить первое по порядку подключение по URL-адресу. Если с подключением все в порядке, появится сообщение об успешном подключении.
  4. Нажмите Проверить все соединения чтобы проверить все созданные подключения. Если с соединениями все в порядке, появится сообщение об успешной проверки всех соединений.

Если выдается ошибка, проверьте записи Журнала LDAP.

Импорт из LDAP


Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.

Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:

  • Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
  • Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.

На схеме ниже показан процесс импорта данных с сервера LDAP.

Подробнее читайте в статье Импорт из LDAP.

Журнал LDAP

Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Основной журнал (sys_log).

Чтобы перейти в записи журнала, перейдите в Настройки LDAP → Журнал LDAP.

Поля формы Журнал LDAP

ПолеОписание
ИсточникОтображает источник, из которого поступает эта запись журнала (например, LDAP Authorization или LDAP Autoprovision).
СообщениеТекст сообщения записи журнала.
УровеньВ этом поле указывается уровень ошибки. Доступные варианты:
  • Информация
  • Ошибка
  • Предупреждение
  • Отладка
Имя пользователяСсылка на пользователя, инициировавшего создание этой записи.