Ctrl+K
Ctrl+K
PDF
Ctrl+K
PDF

Версии

Интеграция с LDAP

Интеграция с LDAP#

С помощью интеграции можно синхронизировать пользователей между LDAP и подсистемой, чтобы при авторизации пользователя введенные данные проходили проверку на стороне LDAP.

В подсистему импортируются новые клиенты и проверяется состояние существующих. Если пользователь блокируется в LDAP, после синхронизации он будет заблокирован и в подсистеме.

Пользователи LDAP могут быть импортированы как сотрудники с полными правами, либо как клиенты.

Предупреждение

Интеграция не поддерживает гибкую настройку ролей и прав доступа.

Примечание

Поддерживаются только реализации Free IPA и Active Directory. Интеграция с подсистемой контроллера домена доступна через тип подключения FreeIPA.

Установка модуля#

Чтобы установить модуль, необходимо перейти в раздел Интеграция — Модули — LDAP и нажать кнопку Установить.

Настройки подключения#

Чтобы настроить синхронизацию с LDAP необходимо:

  1. Перейти в раздел Интеграция → Синхронизация с LDAP и нажать кнопку Создать.

  2. На открывшейся странице указать:

    • Провайдер — выбрать провайдера;

    • Название подключения — название подключения;

    • Тип подключения — реализация LDAP;

    • Адрес сервера — путь до сервера LDAP;

    • Порт сервера — порт для подключения к серверу LDAP;

    • Игнорировать SSL — опция, чтобы не проверять наличие и валидность SSL-сертификата;

    • Путь до сертификата — путь до файла публичного сертификата центра сертификации (CA certificate) на сервере. Обычно указывается для cамозаверенных сертификатов или сертификатов, которые не установлены на сервере;

    • Base DN (Distinguished Name (имя основного домена)) — объект каталога, начиная с которого производится поиск;

    • Bind DN (Distinguished Name) — пользователь в LDAP, от имени которого будут происходить запросы в LDAP;

    • Пароль — пароль пользователя для подключения к серверу LDAP.

../../../_images/sin_ldap.png

Настройка синхронизации#

Синхронизация сотрудников#

Указать следующие настройки, чтобы импортировать пользователей LDAP как сотрудников:

  • Путь к пользователям — путь к пользователям, которых необходимо импортировать как сотрудников. Для записи используется синтаксис строк подключения ADSI;

  • Фильтр для импорта пользователей — используется в запросах к LDAP-серверу при запросе списка пользователей.

Примечание

Чтобы добавить фильтр по группе пользователей, используется конструкция (memberOf=). Например, если путь к пользователям — cn=admins,cn=groups,cn=accounts,dc=example,dc=com, указать фильтр (memberOf=cn=admins,cn=groups,cn=accounts,dc=example,dc=com).

../../../_images/sinh_sot.png

Синхронизация клиентов#

Группы LDAP, полученные по указанным настройкам, будут импортированы как Клиенты. Пользователи LDAP, которые состоят в этих группах, будут импортированы как пользователи Клиента.

Указать следующие настройки, чтобы импортировать пользователей LDAP как клиентов:

  • Путь к группам — путь к группам, которые необходимо импортировать как клиентов. Для записи используется синтаксис строк подключения ADSI;

  • Фильтр для импорта групп — используется в запросах к LDAP-серверу при запросе списка групп;

  • Атрибут наименования клиента — имя атрибута на LDAP-сервере, в котором хранится название группы. Например, CN;

  • Фильтр для импорта пользователей — используется в запросах к LDAP-серверу при запросе пользователей группы, которая импортируется как клиент.

../../../_images/sinh_cl.png

Настройки атрибутов пользователя#

Указать следующие соответствия атрибутов пользователей LDAP и параметров пользователей подсистемы:

  • Атрибут E-mail — имя атрибута на LDAP-сервере, в котором хранится email пользователя;

  • Атрибут ФИО — имя атрибута на LDAP-сервере, в котором хранится полное имя пользователя;

  • Атрибут принадлежности к группе — имя атрибута на LDAP-сервере, который отвечает за принадлежность пользователя к группе;

  • Атрибут блокировки — имя атрибута на LDAP-сервере, который отвечает за блокировку пользователя.

../../../_images/user_atr.png

Удаление#

Чтобы удалить синхронизацию с LDAP, необходимо перейти в раздел Интеграция — Синхронизация с LDAP, выбрать в списке подключение и нажать кнопку Удалить.

Удаление интеграции с LDAP не затрагивает синхронизированных пользователей.

Синхронизация#

Синхронизация запускается раз в день с помощью задания cron:

0 0 * * *  /usr/local/mgr5/sbin/mgrctl -m billmgr crontask action=ldap.sync sok=ok sok=ok >/dev/null 2>&1

Чтобы запустить синхронизацию вручную, необходимо нажать в списке подключений кнопку Синхронизация.

Содержание