Настройка LDAP
Определения
На этой странице мы упоминаем следующие термины:
-
Active Directory (AD) — это реализация службы каталогов (directory service), которая предоставляет разные виды функциональности, включая аутентификацию, управление пользователями и группами, а также администрирование политик.
-
Lightweight Directory Access Protocol (LDAP) — это открытый и кроссплатформенный протокол, разработанный для аутентификации служб каталогов.
-
OpenLDAP — это открытая реализация LDAP, распространяемая под собственной свободной лицензией OpenLDAP Public License.
-
Free Identity, Policy and Audit (FreeIPA) — это открытая централизованная система для управления идентификацией пользователей, а также настройкой политик доступа и аудита в сетях на базе Linux и UNIX.
ВАЖНО
|
Описание LDAP
ADCM предоставляет инструменты для синхронизации групп и пользователей со сторонними системами, поддерживающими протокол LDAP (например, Active Directory, OpenLDAP или FreeIPA). Это позволяет автоматизировать процесс заведения учётных записей в ADCM в соответствии с уже имеющимися процессами внутри компании, а также применить для внешних пользователей существующие механизмы контроля доступа (выдача и лишение прав, редактирование членства в группах и прочее) в ADCM.
Настроив LDAP в ADCM, вы можете:
-
Автоматически обновлять пользовательские учётные данные в случае, если они изменяются в AD, OpenLDAP или FreeIPA.
-
Автоматически деактивировать учётные записи пользователей, если они отключаются в AD, OpenLDAP или FreeIPA.
-
Автоматически добавлять новых пользователей, удовлетворяющих настройкам конфигурации LDAP.
Процесс работы
Чтобы включить интеграцию LDAP, выполните следующие действия:
-
Перейдите на страницу Settings.
-
Нажмите на переключатель LDAP integration.
-
Настройте элементы конфигурации LDAP, которые перечислены ниже в таблице Настройки конфигурации.
Параметры интеграции LDAP -
Нажмите Save. После этого становятся доступными два действия (actions): Run LDAP sync и Test LDAP connection.
-
Запустите действие Test LDAP connection, чтобы проверить подключение к серверу LDAP. Вы можете увидеть результат выполнения действия в секции Jobs.
-
Запустите действие Run LDAP sync , чтобы синхронизировать пользователей, группы и членство в них (memberships) из Active Directory, OpenLDAP или FreeIPA в ADCM. Вы можете увидеть результат выполнения действия в секции Jobs.
ПРИМЕЧАНИЕ
Если доступ по LDAP настроен корректно, то любой пользователь, который соответствует указанным настройкам LDAP, может аутенцифицироваться в ADCM (даже в случае, если действие Run LDAP sync не было выполнено).
|
Название | Описание | Необходимо |
---|---|---|
LDAP URI |
URI сервера LDAP |
Да |
Bind DN |
Уникальное имя (distinguished name, DN) пользователя, которое используется для подключения к серверу LDAP. Пример: |
Да |
Bind Password |
Пароль для доступа к серверу LDAP, использующийся пользователем, который указан в поле Bind DN |
Да |
User search base |
Уникальное имя (distinguished name, DN) объекта директории, в котором осуществляется поиск пользователей по вхождению. Пример: |
Да |
User search filter |
Дополнительный фильтр для выбора пользователей при синхронизации |
Нет |
User object class |
Класс объекта для идентификации пользователей. Значение по умолчанию: |
Да |
User name attribute |
Атрибут пользователя, который будет использоваться в качестве его логина. Значение по умолчанию: |
Да |
Group search base |
Уникальное имя (distinguished name, DN) объекта директории, в котором осуществляется поиск групп по вхождению. Пример: |
Нет |
Group search filter |
Дополнительный фильтр для выбора групп при синхронизации |
Нет |
Group object class |
Класс объекта для идентификации групп. Значение по умолчанию: |
Да |
Group name attribute |
Атрибут группы, который будет использоваться в качестве её имени. Значение по умолчанию: |
Да |
Group member attribute name |
Атрибут группы, который используется в качестве списка её участников. Значение по умолчанию: |
Да |
Group DN for granting ADCM Administrator rights |
Список уникальных имён (DN) групп, участников которых необходимо наделить правами администратора ADCM. Например: |
Нет |
Sync interval |
Количество минут, в течение которого группы, записи участников групп (group memberships) и уникальные имена пользователей (user distinguished names) синхронизируются между Active Directory, OpenLDAP или FreeIPA и ADCM. Значение по умолчанию: |
Да |
TLS CA certificate file path |
Путь к сертификатам CA в контейнере ADCM |
Нет |