Интеграция с LDAP-сервером

Если на предприятии используется LDAP-сервер (Active Directory, 389 Directory Server и т.д.), имеется возможность использовать данные о пользователях из LDAP-каталога в системе ELMA.

В блоке Внешние модули авторизации осуществляется настройка авторизации, в которых определяются настройки, необходимые для осуществления импорта пользователей из LDAP в систему ELMA.

Рис. 1. Блок "Внешние модули авторизации"

В блоке Внешние модули авторизации сохраняются все настроенные ранее модули авторизации. По умолчанию в списке присутствует пустой модуль LDAP, который доступен только для редактирования. Добавленные пользователями модули могут быть отредактированы с помощью кнопки

или удалены с помощью кнопки

(данные кнопки отображаются при наведении курсора мыши на название модуля).

Для добавления нового модуля авторизации необходимо нажать на кнопку

. После этого появится диалоговое окно Модули (рис. 2).

Рис. 2. Диалоговое окно "Модули"

В данном окне необходимо выбрать тип модуля авторизации (Active Directory, LDAP) и нажать на кнопку Добавить.

Настройки подключения к LDAP

При добавлении нового модуля LDAP появится окно, представленное на рис. 3. Для успешного подключения к серверу LDAP необходимо заполнить описанные ниже поля.

Рис. 3. Настройки LDAP- модуля авторизации

Блок "Настройки подключения ELMA к серверу LDAP"

В поле Отображаемое имя автоматически создается шаблон имени подключения. При наведении мыши на значок

отобразится подсказка со свойствами, которые можно использовать в шаблоне.

В поле Адрес сервера требуется указать ip-адрес (подставляется автоматически при открытии окна настроек) или доменное имя, по которому производится обращение к серверу. Если для доступа к серверу выделен порт, отличный от порта LDAP по умолчанию (389), его также требуется указать в этом поле через двоеточие (например, "192.168.0.126:8389" для случая, когда на LDAP-сервере с ip-адресом 192.168.0.126 используется порт 8389).

В поле Пользователь требуется указать имя пользователя, используемое для авторизации на LDAP-сервере. Для интеграции с системой ELMA на LDAP-сервере мы рекомендуем создать системную учетную запись с правами, достаточными для обзора каталога.

В поле Пароль требуется указать пароль к учетной записи путем нажатия на кнопку Установить пароль.

Блок "Настройки подключения пользователей к серверу LDAP"

В поле Тип авторизации требуется указать один из четырех типов авторизации:

Базовая (при передаче данных логин и пароль закодированы методом base64);
Безопасная (при передаче данных передается не логин и пароль, а хэш, вычисленный на их основе);
С шифрованием (данные авторизации защищаются с использованием протокола Kerberos);
Только для чтения.

Внимание!

При интеграции с сервером LDAPS необходимо выбрать в данном поле тип авторизации Базовая, а также импортировать сертификат на сервер в Доверенные корневые.

В поле Шаблон авторизации требуется указать доменное имя, по которому производится обращение к серверу. При необходимости можно добавить логин пользователя, например, company\{$login}.

Блок "Импорт пользователей"

Путь к пользователям – для указания пути к пользователям используется синтаксис строк подключения ADSI ("сокращенная" форма или формат атрибутов имен).

Атрибуты:

OU – Organization Unit – организационный блок (организационная единица или подразделение), который содержит такие объекты, как пользователи, контакты, группы и др.;
CN – Common Name – общее (относительное) имя. Пользователь, контакт, группа или другой объект, который как правило не имеет дочерних объектов;
DC – Domain Component – компонент доменного имени.

Например, для получения пользователей корневой группы Users домена company.com требуется использовать путь "cn=Users, dc=company, dc=com".

Далее необходимо указать соответствие между полями системы ELMA и LDAP:

Параметр "Логин" – укажите поле, используемое на вашем LDAP-сервере для хранения логина пользователя;
Параметр "Имя" – укажите поле, используемое на вашем LDAP-сервере для хранения имени пользователя;
Параметр "Фамилия" – укажите поле, используемое на вашем LDAP-сервере для хранения фамилии пользователя;
Параметр "Отчество" – укажите поле, используемое на вашем LDAP-сервере для хранения отчества пользователя;
Параметр "Email" – укажите поле, используемое на вашем LDAP-сервере для хранения адреса E-mail пользователя;
Параметр "Рабочий телефон" – укажите поле, используемое на вашем LDAP-сервере для хранения рабочего номера телефона пользователя;
Параметр "Мобильный телефон" – укажите поле, используемое на вашем LDAP-сервере для хранения мобильного номера телефона пользователя;
Параметр "Номер комнаты" – укажите поле, используемое на вашем LDAP-сервере для хранения номера комнаты пользователя;
Параметр "Фото" – укажите поле, используемое на вашем LDAP-сервере для хранения фото пользователя.

Фильтр для импорта – фильтр, который используется в запросах к LDAP-серверу при импорте пользователей.

При установке флажка Использовать лес произойдет подключение одного или нескольких связанных деревьев, совместно использующих информацию каталога.

Дополнительный шаблон для импорта – укажите шаблон в виде: (доменное имя)\{$login}, например, yourdomain\{$login}.

При установке флажка Синхронизация статусов пользователей произойдет синхронизация импортированных из LDAP пользователей в соответствии с условием, прописанным в поле Фильтр для импорта. Синхронизация статусов пользователей осуществляется каждые 10 минут. Если при синхронизации данных в каталоге LDAP пользователь не был найден, то в системе он будет заблокирован.

Разблокировка импортированного пользователя, который был заблокирован именно в системе ELMA, не осуществляется даже при условии, что в LDAP данный пользователь присутствует.

В том случае, если причиной блокировки пользователя в системе ELMA была его блокировка в LDAP, требуется разблокировать данного пользователя сначала в LDAP. После разблокировки в LDAP в процессе синхронизации осуществляется автоматическая разблокировка данного пользователя и в системе ELMA.

В системе также предусмотрен Ручной импорт, который осуществляет поиск заблокированных и/или незаблокированных пользователей в процессе импорта. В том случае, если ранее импортированный пользователь не был найден в LDAP или по указанному в фильтре Фильтр для импорта условию, произойдет блокировка пользователя. В том случае, если импортированный пользователь был заблокирован именно в системе ELMA, даже при условии, что в LDAP данный пользователь присутствует, разблокирован он не будет.

Настройки подключения к Active Directory

Настройка интеграции с LDAP различается для различных LDAP-серверов. В данном разделе рассматривается пример настройки LDAP для сервера Microsoft Active Directory. Особенности настройки подключений к LDAP-серверам других вендоров описаны в документации к этим серверам.

Для добавления нового модуля авторизации Active Directory необходимо на этапе создания модуля установить переключатель в положение Active Directory (рис. 2). Далее откроется окно для ввода настроек, данное окно полностью аналогично окну модуля авторизации LDAP (рис. 3).

В примере описываются настройки интеграции с LDAP-сервером домена company.com. В качестве учетной записи пользователя, от имени которого выполняется импорт, используется "LDAPAuth". Предполагается, что все необходимые учетные записи пользователей хранятся в каталоге "Users" LDAP-сервера. LDAP-сервер имеет ip-адрес "192.168.0.126" и использует порт по умолчанию:

Адрес сервера – 192.168.0.126;
Пользователь – company\LDAPAuth;
Тип авторизации – Базовая;
Шаблон для авторизации – company\{$login};
Путь к пользователям – cn=Users,dc=company,dc=com;
Параметр "Логин" – SAMAccountName;
Параметр "Имя" – givenName;
Параметр "Фамилия" – SN;
Параметр "Email" – Mail;
Фильтр для импорта – (&(objectCategory=person)(objectClass=user)).

Для импорта пользователей, входящих в определенную группу, необходимо зайти в настройки интеграции и в поле Фильтр для импорта задать фильтр по участникам определенной группы. Например, для "CRM-users": (&(objectCategory=person)(objectClass=user)(memberOf=CN=CRM-users,OU=AzureAD,OU=Groups,DC=msk,DC=organization,DC=ru)).

Для импорта всех включенных пользователей необходимо использовать фильтр (&(objectCategory=person)(objectClass=user)

(!userAccountControl:1.2.840.113556.1.4.803:=2)).

Можно настроить фильтрацию учетных записей по непустым атрибутам. Например, для отбора записей с заполненными атрибутами Должность (Title), Подразделение (Department), Организация (Company), email (Mail), необходимо использовать фильтр (&(objectClass=user)(objectClass=person)(!objectClass=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2)(company=*)(Title=*)(Department=*)(Mail=*)).

См. также:

Импорт пользователей из LDAP.