Versions Compared
Key
- This line was added.
- This line was removed.
- Formatting was changed.
Легковесный протокол доступа к каталогам (LDAP) – это открытый, независимый от поставщика, стандартный для отрасли прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Internet Protocol (IP).
Интеграция с LDAP позволяет подключить экземпляр подключиться к серверу LDAP или AD служб каталогов по LDAP (например Active Directory) и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и т.д.
Image RemovedImage Added
Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com
.
В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.
Пользователь может авторизоваться через свойство user.ldap_autoprovision, включающее Автоматическую инициализацию.
Note |
---|
При самостоятельной попытке авторизации пользователя, который есть в каталоге LDAP, но которого нет в системе, на экземпляре автоматически создается запись пользователя со сгенерированной электронной почтой в формате {случайная строка в 10 символов}@simple.test.
|
Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).
Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).Система синхронизируется с сервером LDAP двумя способами:только через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье
Скрипты по расписанию.Запланированные скрипты. Таким образом, при авторизации и других операциях данные не обновляются.
Установка соединения LDAP
Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:
- Настройте сервер LDAP.
- Определите URL-адрес LDAP.
- (необязательно) Добавьте сертификат для установки безопасного LDAP-соединения.
- Настройте LDAP.
- Проверьте настройки.
- (Необязательнонеобязательно) Импорт данных.
Дополнительные инструменты для настройки LDAP-соединения:
Настройка LDAP-
серверасервера Anchor ldap server ldap server
ldap server | |
ldap server |
Для успешного подключения к серверу, сервер и текущий экземпляр SimpleOne должны быть доступны для подключения. Также должен быть открыт порт, по которому производится подключение.
Учётная запись, с которой производится подключение, должна принадлежать к группе Domain User. Это означает, что пользователь должен иметь право на чтение каталога.
Чтобы настроить LDAP-соединение, выполните следующие шаги:
- Перейдите в Настройки в LDAP → Серверы LDAP.
- Нажмите Создать и заполните поля.
- Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
- Скопируйте ID текущей записи.
Поля формы Сервер LDAP
Поле | Обязательно | Описание |
---|---|---|
Наименование | Да | Введите название сервера. |
Корневой каталог | Да | Введите относительно уникальное имя (RDN) каталога поиска. Пример: |
Активен | Нет | Установите флажок, чтобы активировать сервер. |
Имя пользователя | Да | Укажите логин пользователя для аутентификации в LDAP-соединения. |
Пароль | Нет | Укажите пароль сервера. |
Info |
---|
Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван. |
Определение URL-адреса LDAP Anchor ldap url ldap url
ldap url | |
ldap url |
Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.
Чтобы задать URL, выполните следующие шаги:
- Перейдите в Настройки LDAP → Адреса LDAP.
- Нажмите Создать и заполните поля.
- Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
Поля формы Адрес LDAP
Поле | Обязательно | Описание |
---|---|---|
URL | Да | Введите LDAP/LDAPS URL. SSL-сертификат проверяет домен, а не IP-адрес, поэтому подключение производится по доменному адресу. Пример для LDAP:
Пример для LDAPS:
|
Активен | Нет | Установите флажок, чтобы активировать URL-адрес. |
Порядок | Нет | Укажите порядок этого URL-адреса, если есть более одного похожего элемента. В этом случае они будут обрабатываться в порядке возрастания. |
Операционный статус | Нет | Статус LDAP-соединения. Доступные значения:
|
Сервер LDAP | Да | Укажите соответствующий сервер. |
Добавление сертификата Anchor create an LDAP certificate create an LDAP certificate
create an LDAP certificate | |
create an LDAP certificate |
Если вам необходимо установить безопасное LDAP-соединение с помощью протоколов SSL, LDAPS через порт 636, вам нужно предоставить SSL-сертификат. Если у вас нет работающего сертификата, LDAP-соединение будет незащищённым. В таком случае используйте порт 389 (TCP/UDP).
Чтобы добавить SSL-сертификат, выполните следующие шаги:
- Перейдите в LDAP → Сертификаты.
- Нажмите Создать.
Прикрепите файл SSL-сертификата.
Info title Требования к сертификату - Для корректной работы сертификат должен быть корневым (CA).
- Поддерживаемые форматы PEM (Privacy Enhanced Mail) имеют расширение .pem, .crt, .cer.
- Файлы должны быть закодированы Base64 и начинаться со строки "----- BEGIN CERTIFICATE -----", а заканчиваться "----- END CERTIFICATE -----".
- После загрузки файла укажите Наименование сертификата и установите флажок Активен. Вы также можете добавить Краткое описание. Все остальные поля будут заполнены автоматически данными из прикрепленного файла.
- Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
Поля формы Сертификат
Поле | Обязательно | Описание | ||
---|---|---|---|---|
Наименование | Да | Укажите наименование сертификата, по которому вы сможете идентифицировать его в списках. | ||
Тема | Нет | Атрибуты сертификата. Это поле заполняется автоматически на основе данных сертификата. Вы можете найти больше информации об атрибутах в документации RFC 5280. | ||
Эмитент | Нет | Кем выдан сертификат. Поле заполняется автоматически. | ||
Путь к файлу | Нет |
| ||
Краткое описание | Нет | Укажите краткое описание сертификата. | ||
Активен | Нет | Установите флажок, чтобы сделать сертификат активным. | ||
Действителен с | Нет | Дата, с которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата. | ||
Действителен до | Нет | Дата, до которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата. SimpleOne не проверяет значение этого поля, однако соединение не будет установлено если срок действия сертификата истек. |
Tip |
---|
Вы можете просмотреть список существующих сертификатов с формы записи Сервер LDAP. Для этого кликните Список сертификатов. |
Настройка LDAP
Anchor | ||||
---|---|---|---|---|
|
После того, как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.
Чтобы настроить LDAP, выполните следующие шаги:
- Перейдите в Настройки LDAP → Настройка LDAP.
- Нажмите Создать и заполните поля.
- Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
Excerpt Include | ||||||
---|---|---|---|---|---|---|
|
Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.
Проверка
настроекнастроек Anchor test test
test | |
test |
Убедитесь, что соединение настроено, выполнив следующие действия:
- Перейдите в LDAP → Серверы LDAP.
- Откройте нужную запись.
- Нажмите Проверить соединение, чтобы проверить первое по порядку соединение по URL.
- Нажмите Проверить соединения, чтобы проверить все соединения.
При возникновении ошибок, проверьте Журнал LDAP записи.
Импорт из LDAP Anchor ldap import ldap import
ldap import | |
ldap import |
Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.
Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:
- Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
- Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.
На схеме ниже показан процесс импорта данных с сервера LDAP.
Image RemovedImage Added
Подробнее читайте в статье Импорт из LDAP.
Демоданные для интеграцииПример настройки интеграции с AD
Готовое решение SimpleOne содержит демонстрационные данные для упрощения пример настройки подключения к службе Active Directory (AD).
Ознакомьтесь с примером ним перед настройкой LDAP импорта на экземпляре. Настройки примера поставляются в нередактируемом не редактируемом виде. Используйте пункт бургер-меню Создать копию на формах каждой записи для записи для копирования настроек примера.
Созданы и настроены следующие записи:
- LDAP Сервер Demo_Active_Directory . Чтобы использовать готовую запись, измените значения и активируйте ее.
- LDAP URL для сервера Demo_Active_Directory.
- с примером LDAP URL. В копии записи задайте параметры необходимого сервера.
настройки Настройки LDAP SimpleOneCourses1 и SimpleOneCourses2. Используйте одну из настроек в качестве примера для создания рабочего соединения с AD.
Expand title Значения полей Поле Значение Описание Фильтр Section Column width 50% Panel title SimpleOneCourses1 (&
(objectClass=person)
(sn=*)
)
Column width 50% Panel title SimpleOneCourses2 (&
(objectClass=person,top)
(sn=*)
)
Заданный фильтр выбирает записи пользователей с любым именем для импорта из AD. Поле запроса sAMAccountName Поле, которое используется для подключения к AD и запроса записей. Перечень атрибутов samaccountname,sn,givenname,distinguishedname,msDS-cloudExtensionAttribute6,telephonenumber, mobile,mail,manager,company,useraccountcontrol,thumbnailphoto Атрибуты, возвращаемые запросом LDAP. - источник импорта LDAP Users. Используйте один источник импорта для похожих настроек LDAP.
- запланированные импорты Daily Import SimpleOne Employees и Daily Import SimpleOne Employees 2. Данные AD импортируются каждый день в определенное время. Используйте один из импортов как пример создания своего запланированного импорта.
- запланированный скрипт Daily Deletion of Obsolete Import Sets. Скрипт Скрипт удаляет неактивные наборы импорта. При удалении набора импорта происходит каскадное удаление колонки Набор импорта для источника импорта данных LDAP Users и связанные записи в таблице Элементы наборов. Скрипт удаляет все наборы импорта, кроме последнего созданного.
Для соединения и импорта пользователей из AD, выполните следующие шаги:
- Создайте локальный пакет в приложении Simple для настройки LDAP импорта.
- Создайте копии записей, упомянутых выше и , и настройте интеграцию LDAP, изменив значения полей на нужные.
- Нажмите Проверить соединение на форме сервера LDAP. Если соединение установлено успешно, нажмите Обзор LDAP, чтобы проверить структуру LDAP.
- После проверки структуры, перейдите на форму нужной настройки LDAP и откройте связанный источник импорта.
- (опционально) Нажмите Пробная загрузка (20 записей), чтобы создать тестовый набор импорта.
- Нажмите Загрузить всe.
- Нажмите Соотношения таблиц для создания Схемы трансформации. Значение поля Исходная таблица должно совпадать со значением поля Таблица на форме Настройки LDAP.
- На форме Схемы трансформации нажмите создайте соотношения полей через связанный список. Для полей Логин и Электронная почта установлен флажок Объединить данные. Параметр определяет поля целевой таблицы, которые будут использоваться для поиска записей на основе импортированных данных. Если запись найдена в целевой таблице, она будет обновлена. В противном случае будет создана новая запись.
- Вернитесь на форму Источника импорта и откройте запись Набора импорта через связанный список.
- Нажмите Трансформировать, чтобы импортировать данные из AD.
- Настройте копию запланированного импорта Daily Import SimpleOne Employees. Добавьте ссылку на ранее созданный источник импорта.
- Настройте копию запланированного скрипта Daily Deletion of Obsolete Import Sets и установите флажок Активно. Скопируйте ID источника импорта в переменную import_source_id скрипта.
Журнал LDAP
Anchor | ||||
---|---|---|---|---|
|
Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Main Logs Основной журнал (sys_log).
Чтобы перейти в записи журнала, перейдите в Настройки LDAP → Журнал LDAP.
Системные свойства LDAP
Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства перечислены ниже:
user.authorization_when_no_ldap_connection
user.ldap_authentication
Поля формы Журнал LDAP
Поля | Описание |
---|---|
Источник | Отображает источник, из которого поступает эта запись журнала (например, LDAP authorization или LDAP autoprovision). |
Сообщение | Текст сообщения записи журнала. |
Уровень | В этом поле указывается уровень ошибки. Доступные варианты:
|
Имя пользователя | Ссылка на пользователя, инициировавшего создание этой записи. |
Системные свойства LDAP Anchor properties properties
properties | |
properties |
Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства можно найти в статье Свойства LDAP
user.ldap_autoprovision
.
Table of Contents | ||||||
---|---|---|---|---|---|---|
|