Аутентификация с использованием LDAP

ADB Control поддерживает аутентификацию пользователей с использованием протокола LDAP (Lightweight Directory Access Protocol). При использовании LDAP нет необходимости в ручном добавлении пользователей, как это требуется при базовой аутентификации: проверка учетных записей пользователей и их паролей выполняется на выбранном LDAP-сервере.

Для настройки LDAP-аутентификации выполните следующие шаги:

  1. Убедитесь, что LDAP-сервер настроен и доступен. ADB Control поддерживает две реализации протокола LDAP: Microsoft Active Directory (MS AD) и 389 Directory server в составе FreeIPA.

  2. Откройте конфигурационную страницу сервиса ADB Control в ADCM.

  3. Переведите переключатель UI LDAP authentication в активное состояние.

  4. Заполните следующие поля.

    Поле Описание Пример в MS AD

    LDAP type

    Тип LDAP-сервера. Возможные значения:

    • MSAD — Microsoft Active Directory;

    • FreeIPA — 389 Directory server в составе FreeIPA.

    MSAD

    LDAP URI

    URI для подключения к LDAP-серверу в формате <schema>://<host>:<port>. Например, ldap://example.com:389 или ldaps://example.com:636. Если номер порта не указан, используются стандартные номера: 389 для LDAP и 636 для LDAPS

    ldap://10.92.2.66:389

    Internal CA certificate in PEM format (optional)

    Внутренний сертификат центра сертификации (Certification authority, CA) в формате PEM, используемый для подписи сертификата сервера LDAP

     — 

    Users baseDN

    Ограничение на область поиска объектов в каталоге LDAP, применяемое в запросах на поиск пользователей

    dc=ad,dc=ranger-test

    Groups baseDN

    Ограничение на область поиска объектов в каталоге LDAP, применяемое в запросах на поиск групп пользователей

    dc=ad,dc=ranger-test

    Users OUs

    Список OU для поиска пользователей. Если опция заполнена, поиск производится только в выбранных OU относительно Users baseDN, иначе — относительно всего Users baseDN. Каждое значение OU вводится в виде отдельной строки в формате ou=<name> (например, ou=users1)

    ou=Peoples

    Groups OUs

    Список OU для поиска групп пользователей. Если опция заполнена, поиск производится только в выбранных OU относительно Groups baseDN, иначе — относительно всего Groups baseDN. Каждое значение OU вводится в виде отдельной строки в формате ou=<name> (например, ou=groups1)

    ou=Groups

    Group

    Имя группы, используемое в сервисных запросах к LDAP-серверу

     — 

    Login

    Имя пользователя, используемое в сервисных запросах к LDAP-серверу

    cn=admin,dc=ad,dc=ranger-test

    Password

    Пароль пользователя, используемый в сервисных запросах к LDAP-серверу

    Пароль пользователя admin

    Size limit

    Максимальное количество записей, возвращаемое LDAP-сервером

    1000

    Lowercase login

    Необходимо ли преобразование имен пользователей в нижний регистр

    false

    ВАЖНО
    • Различные реализации LDAP используют разные имена для типов и идентификаторов объектов. Формат параметров для конкретной реализации LDAP рекомендуется уточнять у администратора LDAP-сервера.

    • Для использования LDAP-аутентификации с SSL (LDAPS) начиная с версии ADB Control 4.10.3 необходимо:

      • Использовать протокол ldaps в поле LDAP URI.

      • Заполнить секцию HTTPS parameters enable.

      • Заполнить поле Internal CA certificate in PEM format (optional). Сертификат должен быть размещен на всех хостах, используемых ADB Control (импортирован в truststore.jks). В секцию SAN (subject alternative names) сертификата должны быть добавлены имена и адреса всех хостов с данными.

  5. Нажмите Save. Примените действие Reconfigure & Restart к сервису ADB Control.

    Настройка LDAP-аутентификации для ADB Control в ADCM
    Настройка LDAP-аутентификации для ADB Control в ADCM
  6. В web-интерфейсе ADB Control выполните сопоставление групп пользователей LDAP-сервера и ролей ADB Control. Это необходимо для того, чтобы пользователи LDAP получили соответствующие разрешения на работу в ADB Control. Процесс настройки описан в статье Авторизация.

Если все шаги выполнены успешно, пользователи смогут подключаться к ADB Control, используя учетные записи, зарегистрированные для них на LDAP-сервере.

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней