Интеграция с LDAP-сервером
Если на предприятии используется LDAP-сервер (Active Directory, 389 Directory Server и т.д.), имеется возможность использовать данные о пользователях из LDAP-каталога в системе ELMA.
Рис. 1. Блок "Внешние модули авторизации"
В блоке Внешние модули авторизации сохраняются все настроенные ранее модули авторизации. По умолчанию в списке присутствует пустой модуль LDAP, который доступен только для редактирования. Добавленные пользователями модули могут быть отредактированы с помощью кнопки или удалены с помощью кнопки (данные кнопки отображаются при наведении курсора мыши на название модуля).
Для добавления нового модуля авторизации необходимо нажать на кнопку . После этого появится диалоговое окно Модули (рис. 2).
Рис. 2. Диалоговое окно "Модули"
В данном окне необходимо выбрать тип модуля авторизации (Active Directory, LDAP) и нажать на кнопку Добавить.
Настройки подключения к LDAP
При добавлении нового модуля LDAP появится окно, представленное на рис. 3. Для успешного подключения к серверу LDAP необходимо заполнить описанные ниже поля.
Рис. 3. Настройки LDAP- модуля авторизации
Блок "Настройки подключения ELMA к серверу LDAP"
В поле
Отображаемое имя автоматически создается шаблон имени подключения. При наведении мыши на значок
отобразится подсказка со свойствами, которые можно использовать в шаблоне.
В поле Адрес сервера требуется указать ip-адрес (подставляется автоматически при открытии окна настроек) или доменное имя, по которому производится обращение к серверу. Если для доступа к серверу выделен порт, отличный от порта LDAP по умолчанию (389), его также требуется указать в этом поле через двоеточие (например, "192.168.0.126:8389" для случая, когда на LDAP-сервере с ip-адресом 192.168.0.126 используется порт 8389).
В поле Пользователь требуется указать имя пользователя, используемое для авторизации на LDAP-сервере. Для интеграции с системой ELMA на LDAP-сервере мы рекомендуем создать системную учетную запись с правами, достаточными для обзора каталога.
В поле Пароль требуется указать пароль к учетной записи путем нажатия на кнопку Установить пароль.
Блок "Настройки подключения пользователей к серверу LDAP"
В поле Тип авторизации требуется указать один из четырех типов авторизации:
-
Базовая (при передаче данных логин и пароль закодированы методом base64);
-
Безопасная (при передаче данных передается не логин и пароль, а хэш, вычисленный на их основе);
-
С шифрованием (данные авторизации защищаются с использованием протокола Kerberos);
-
Внимание!
При интеграции с сервером LDAPS необходимо выбрать в данном поле тип авторизации Базовая, а также импортировать сертификат на сервер в Доверенные корневые.
|
В поле Шаблон авторизации требуется указать доменное имя, по которому производится обращение к серверу. При необходимости можно добавить логин пользователя, например, company\{$login}.
Блок "Импорт пользователей"
Путь к пользователям – для указания пути к пользователям используется синтаксис строк подключения ADSI ("сокращенная" форма или формат атрибутов имен).
Атрибуты:
-
OU – Organization Unit – организационный блок (организационная единица или подразделение), который содержит такие объекты, как пользователи, контакты, группы и др.;
-
CN – Common Name – общее (относительное) имя. Пользователь, контакт, группа или другой объект, который как правило не имеет дочерних объектов;
-
DC – Domain Component – компонент доменного имени.
Например, для получения пользователей корневой группы Users домена company.com требуется использовать путь "cn=Users, dc=company, dc=com".
Далее необходимо указать соответствие между полями системы ELMA и LDAP:
-
Параметр "Логин" – укажите поле, используемое на вашем LDAP-сервере для хранения логина пользователя;
-
Параметр "Имя" – укажите поле, используемое на вашем LDAP-сервере для хранения имени пользователя;
-
Параметр "Фамилия" – укажите поле, используемое на вашем LDAP-сервере для хранения фамилии пользователя;
-
Параметр "Отчество" – укажите поле, используемое на вашем LDAP-сервере для хранения отчества пользователя;
-
Параметр "Email" – укажите поле, используемое на вашем LDAP-сервере для хранения адреса E-mail пользователя;
-
Параметр "Рабочий телефон" – укажите поле, используемое на вашем LDAP-сервере для хранения рабочего номера телефона пользователя;
-
Параметр "Мобильный телефон" – укажите поле, используемое на вашем LDAP-сервере для хранения мобильного номера телефона пользователя;
-
Параметр "Номер комнаты" – укажите поле, используемое на вашем LDAP-сервере для хранения номера комнаты пользователя;
-
Параметр "Фото" – укажите поле, используемое на вашем LDAP-сервере для хранения фото пользователя.
Фильтр для импорта – фильтр, который используется в запросах к LDAP-серверу при импорте пользователей.
При установке флажка Использовать лес произойдет подключение одного или нескольких связанных деревьев, совместно использующих информацию каталога.
-
Дополнительный шаблон для импорта – укажите шаблон в виде: (доменное имя)\{$login}, например, yourdomain\{$login}.
При установке флажка Синхронизация статусов пользователей произойдет синхронизация импортированных из LDAP пользователей в соответствии с условием, прописанным в поле Фильтр для импорта. Синхронизация статусов пользователей осуществляется каждые 10 минут. Если при синхронизации данных в каталоге LDAP пользователь не был найден, то в системе он будет заблокирован.
Разблокировка импортированного пользователя, который был заблокирован именно в системе ELMA, не осуществляется даже при условии, что в LDAP данный пользователь присутствует.
В том случае, если причиной блокировки пользователя в системе ELMA была его блокировка в LDAP, требуется разблокировать данного пользователя сначала в LDAP. После разблокировки в LDAP в процессе синхронизации осуществляется автоматическая разблокировка данного пользователя и в системе ELMA.
В системе также предусмотрен Ручной импорт, который осуществляет поиск заблокированных и/или незаблокированных пользователей в процессе импорта. В том случае, если ранее импортированный пользователь не был найден в LDAP или по указанному в фильтре Фильтр для импорта условию, произойдет блокировка пользователя. В том случае, если импортированный пользователь был заблокирован именно в системе ELMA, даже при условии, что в LDAP данный пользователь присутствует, разблокирован он не будет.
Настройки подключения к Active Directory
Настройка интеграции с LDAP различается для различных LDAP-серверов. В данном разделе рассматривается пример настройки LDAP для сервера Microsoft Active Directory. Особенности настройки подключений к LDAP-серверам других вендоров описаны в документации к этим серверам.
Для добавления нового модуля авторизации Active Directory необходимо на этапе создания модуля установить переключатель в положение Active Directory (рис. 2). Далее откроется окно для ввода настроек, данное окно полностью аналогично окну модуля авторизации LDAP (рис. 3).
В примере описываются настройки интеграции с LDAP-сервером домена company.com. В качестве учетной записи пользователя, от имени которого выполняется импорт, используется "LDAPAuth". Предполагается, что все необходимые учетные записи пользователей хранятся в каталоге "Users" LDAP-сервера. LDAP-сервер имеет ip-адрес "192.168.0.126" и использует порт по умолчанию:
-
Адрес сервера – 192.168.0.126;
-
Пользователь – company\LDAPAuth;
-
Тип авторизации – Базовая;
-
Шаблон для авторизации – company\{$login};
-
Путь к пользователям – cn=Users,dc=company,dc=com;
-
Параметр "Логин" – SAMAccountName;
-
Параметр "Имя" – givenName;
-
-
-
Фильтр для импорта – (&(objectCategory=person)(objectClass=user)).
Для импорта пользователей, входящих в определенную
группу, необходимо зайти в настройки интеграции и в поле
Фильтр для импорта задать фильтр по участникам определенной группы. Например, для "CRM-users": (&(objectCategory=person)(objectClass=user)(memberOf=CN=CRM-users,OU=AzureAD,OU=Groups,DC=msk,DC=organization,DC=ru)).
Для импорта всех включенных пользователей необходимо использовать фильтр (&(objectCategory=person)(objectClass=user)
(!userAccountControl:1.2.840.113556.1.4.803:=2)).
Можно настроить фильтрацию учетных записей по непустым атрибутам. Например, для отбора записей с заполненными атрибутами Должность (Title), Подразделение (Department), Организация (Company), email (Mail), необходимо использовать фильтр (&(objectClass=user)(objectClass=person)(!objectClass=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2)(company=*)(Title=*)(Department=*)(Mail=*)).
См. также: