Главная
Arenadata Cluster Manager
Базовые операции
Настройка доступа
Настройка LDAP

Настройка LDAP

Михаил Серов

Содержание

Определения
Описание LDAP
Процесс работы

Определения

На этой странице мы упоминаем следующие термины:

Active Directory (AD) — это реализация службы каталогов (directory service), которая предоставляет разные виды функциональности, включая аутентификацию, управление пользователями и группами, а также администрирование политик.
Lightweight Directory Access Protocol (LDAP) — это открытый и кроссплатформенный протокол, разработанный для аутентификации служб каталогов.
OpenLDAP — это открытая реализация LDAP, распространяемая под собственной свободной лицензией OpenLDAP Public License.
Free Identity, Policy and Audit (FreeIPA) — это открытая централизованная система для управления идентификацией пользователей, а также настройкой политик доступа и аудита в сетях на базе Linux и UNIX.

ВАЖНО

Интеграция LDAP поддерживается только с одним доменом.
Имя пользователя уникально. При наличии локального пользователя одноимённый внешний пользователь не добавляется во время синхронизации.
Для пользователей LDAP во время синхронизации могут быть модифицированы только атрибуты членства в группах (поле Add groups). При этом, если у пользователя LDAP были изменения, связанные с членством в группах LDAP на стороне AD, то эти изменения будут добавляться каждый раз при выполнении действия Run LDAP sync (в том числе, когда это действие выполняется по расписанию). Если пользователя LDAP добавили в какую-то локальную группу ADCM, то при синхронизации это изменение сохранится.

Описание LDAP

ADCM предоставляет инструменты для синхронизации групп и пользователей со сторонними системами, поддерживающими протокол LDAP (например, Active Directory, OpenLDAP или FreeIPA). Это позволяет автоматизировать процесс заведения учётных записей в ADCM в соответствии с уже имеющимися процессами внутри компании, а также применить для внешних пользователей существующие механизмы контроля доступа (выдача и лишение прав, редактирование членства в группах и прочее) в ADCM.

Настроив LDAP в ADCM, вы можете:

Автоматически обновлять пользовательские учётные данные в случае, если они изменяются в AD, OpenLDAP или FreeIPA.
Автоматически деактивировать учётные записи пользователей, если они отключаются в AD, OpenLDAP или FreeIPA.
Автоматически добавлять новых пользователей, удовлетворяющих настройкам конфигурации LDAP.

Процесс работы

Чтобы включить интеграцию LDAP, выполните следующие действия:

Перейдите на страницу Settings.
Нажмите на переключатель LDAP integration.
Настройте элементы конфигурации LDAP, которые перечислены ниже в таблице Настройки конфигурации.

Параметры интеграции LDAP
Нажмите Save. После этого становятся доступными два действия (actions): Run LDAP sync и Test LDAP connection.
Запустите действие Test LDAP connection, чтобы проверить подключение к серверу LDAP. Вы можете увидеть результат выполнения действия в секции Jobs.
Запустите действие Run LDAP sync , чтобы синхронизировать пользователей, группы и членство в них (memberships) из Active Directory, OpenLDAP или FreeIPA в ADCM. Вы можете увидеть результат выполнения действия в секции Jobs.

ПРИМЕЧАНИЕ

Если доступ по LDAP настроен корректно, то любой пользователь, который соответствует указанным настройкам LDAP, может аутенцифицироваться в ADCM (даже в случае, если действие Run LDAP sync не было выполнено).

Настройки конфигурации
Название	Описание	Необходимо
LDAP URI	URI сервера LDAP	Да
Bind DN	Уникальное имя (distinguished name, DN) пользователя, которое используется для подключения к серверу LDAP. Пример: `cn=admin,dc=ad,dc=ranger-test`	Да
Bind Password	Пароль для доступа к серверу LDAP, использующийся пользователем, который указан в поле *Bind DN*	Да
User search base	Уникальное имя (distinguished name, DN) объекта директории, в котором осуществляется поиск пользователей по вхождению. Пример: `ou=Peoples,dc=ad,dc=ranger-test`	Да
User search filter	Дополнительный фильтр для выбора пользователей при синхронизации	Нет
User object class	Класс объекта для идентификации пользователей. Значение по умолчанию: `user`	Да
User name attribute	Атрибут пользователя, который будет использоваться в качестве его логина. Значение по умолчанию: `sAMAccountName`	Да
Group search base	Уникальное имя (distinguished name, DN) объекта директории, в котором осуществляется поиск групп по вхождению. Пример: `ou=Groups,dc=ad,dc=ranger-test`	Нет
Group search filter	Дополнительный фильтр для выбора групп при синхронизации	Нет
Group object class	Класс объекта для идентификации групп. Значение по умолчанию: `group`	Да
Group name attribute	Атрибут группы, который будет использоваться в качестве её имени. Значение по умолчанию: `cn`	Да
Group member attribute name	Атрибут группы, который используется в качестве списка её участников. Значение по умолчанию: `member`	Да
Group DN for granting ADCM Administrator rights	Список уникальных имён (DN) групп, участников которых необходимо наделить правами администратора ADCM. Например: `cn=adcm_admin,ou=Groups,dc=ad,dc=ranger-test`	Нет
Sync interval	Количество минут, в течение которого группы, записи участников групп (group memberships) и уникальные имена пользователей (user distinguished names) синхронизируются между Active Directory, OpenLDAP или FreeIPA и ADCM. Значение по умолчанию: `60`	Да
TLS CA certificate file path	Путь к сертификатам CA в контейнере ADCM	Нет

Нашли ошибку? Выделите текст и нажмите Ctrl+Enter чтобы сообщить о ней