Настройка интеграции с службой каталогов
Для настройки подключения Каталога пользователей необходимо выполнить следующую полследовательность действий:
1. Перейти в раздел меню Настройки и перейти к пункту Управление пользователями
Рисунок 1 - Пункт меню "Управление пользователями"
2. В раскрывшемся интерфейсе перейти на вкладку Каталоги
Рисунок 2 - Вкладка "Каталоги"
3.На вкладке Каталоги нажать на кнопку "Добавить".
4. В открывшейся форме развернуть поле со списком Тип каталога и выбрать из списка пункт "ACTIVE_DIRECTORY".
5. Заполнить поля характерные для подключения к FreeIPA
Название поля | Назначение | Пример заполнения FreeIPA | Пример заполнения AD |
|---|---|---|---|
Имя | Название подключения к каталогу пользователей | Gelarm_FreeIPA | Gelarm_AD |
Сетевые параметры / хост | Хост на котором расположен сервер FreeIPA/Active Directory и порт для подключения. | 192.168.108.17 | vlg-dc02.vk.ru |
Порт | Порт для подключения. По умолчанию использует порт 389. | 389 | 389 |
Использовать SSL | Флаг для использования защищенного подключения SSL для подключения к FreeIPA/Active Directory | ||
Имя пользователя | Имя пользователя в LDAP/Active Directory, от имени которого будут происходить запросы в LDAP/Active Directory. | uid=freeradius,cn=user,cn=accaunts,dc=gelarm,dc=ru | automation.vk.ru |
Пароль | Пароль пользователя | ||
DN пользователя | Путь в LDAP/Active Directory, для поиска и загрузки учетных записей пользователей Примечание: DN (Distinguished Name): Уникальное имя объекта, определяющее путь к нему, например: CN=Username,OU=Users,DC=domain,DC=com | cn=users,cn=accaunts,dc=gelarm,dc=ru | OU=VLG,OU=AdminTech,OU=Employees,OU=IDM,DC=vk,DC=ru |
DN группы | Путь в LDAP/Active Directory для поиска и загрузки групп пользователей | cn=groups,cn=accaunts,dc=gelarm,dc=ru | OU=vk,OU=Service Access Groups,OU=IDM,DC=vk,DC=ru |
Фильтр пользовательских объектов | Фильтр пользовательских объектов ADSI (Active Directory Service Interfaces) и использует синтаксис LDAP/Active Directory для поиска. | (uid=%(user)s) | (&(sAMAccountName=%(user)s)(objectClass=person)) |
Атрибут 'Имя пользователя' | Атрибут givenName (LDAP-имя: givenName, OID: 2.5.4.42) в LDAP/Active Directory содержит имя пользователя (иногда включая отчество). | GivenName | GivenName |
Атрибут 'Фамилия пользователя' | Атрибут Surname в LDAP/Active Directory содержит фамилию пользователя. | sn | sn |
Атрибут 'Email пользователя' | Атрибут mail в LDAP/Active Directory содержит основной атрибут для адреса электронной почты. | ||
Фильтр объектов группы | Фильтр objectClass в LDAP/Active Directory используется для поиска конкретных типов объектов, определяя класс объекта (например: групп, пользователей). Для поиска групп используется фильтр (objectClass=group). Он позволяет отфильтровать все объекты, классифицированные как группы безопасности или рассылки. | (objectClass=groupOfNames) | (objectClass=groupOfNames) |
Атрибут 'Имя группы' | Атрибут cn часто используется при запросах LDAP для фильтрации групп. (Например: cn=Developers) | cn | cn |
Требуемая группа | Не обязательный параметр. DN группы, в которую должен входить пользователь для успешной авторизации | ||
Запрещённая группа | Не обязательный параметр. DN группы, для которой запрещена авторизация пользователей |
6. Нажать кнопку "Сохранить изменения".