You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 12 Next »

Легковесный протокол доступа к каталогам (LDAP) – это открытый, независимый от поставщика, стандартный для отрасли прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Internet Protocol (IP).

Интеграция с LDAP позволяет подключить экземпляр к серверу LDAP или AD и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и т.д.

Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com.

В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.

Система синхронизируется с сервером LDAP двумя способами:

  • через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье Скрипты по расписанию.
  • через Автоматическую инициализацию (запускается при входе в систему) – когда пользователь входит в систему, система обновляет запрошенные данные. Настройте этот способ синхронизации через свойство user.ldap_autoprovision.

Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).


Установка соединения LDAP


Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:

  1. Настройте сервер LDAP.
  2. Определите URL-адрес LDAP.
  3. Настройте LDAP.
  4. Проверьте настройки.
  5. (Необязательно) Импорт данных.

Дополнительные инструменты для настройки LDAP-соединения:

  1. Журнал LDAP
  2. Системные свойства LDAP

Настройка LDAP-сервера

Чтобы настроить LDAP-соединение, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Серверы LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
  4. Скопируйте ID текущей записи.

Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван.

Определение URL-адреса LDAP

Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.

Чтобы задать URL, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Адреса LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Настройка LDAP

После того как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.

Чтобы настроить LDAP, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Настройка LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Error rendering macro 'excerpt-include'

No link could be created for 'Импорт из LDAP'.

Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.

Проверка настроек

Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.

Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:

  • Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
  • Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.

На схеме ниже показан процесс импорта данных с сервера LDAP.

Подробнее читайте в статье Импорт из LDAP.


Демоданные для интеграции с AD


Готовое решение SimpleOne содержит демонстрационные данные для упрощения подключения к службе Active Directory (AD).

Созданы и настроены следующие записи:

  • LDAP Сервер Demo_Active_Directory. Чтобы использовать готовую запись, измените значения и активируйте ее.

  • Настройки LDAP SimpleOneCourses1 и SimpleOneCourses2. Используйте одну из настроек в качестве примера для создания рабочего соединения с AD.


  • LDAP URL для сервера Demo_Active_Directory.
  • источник импорта LDAP Users. Используйте один источник импорта для похожих настроек LDAP.

Для соединения и импорта пользователей из AD, выполните следующие шаги:

  1. Измените значения на нужные в упомянутых выше записях.
  2. Нажмите Проверить соединение на форме сервера LDAP. Если соединение установлено успешно, нажмите Обзор LDAP, чтобы проверить структуру LDAP.
  3. После проверки структуры, перейдите на форму нужной настройки LDAP и откройте связанный источник импорта. 
  4. Нажмите Пробная загрузка (20 записей), чтобы создать тестовый набор импорта.
  5. Нажмите Соотношения таблиц для просмотра настроенных соотношений полей. Для полей Логин и Электронная почта установлен флажок Объединить данные, так как значения этих полей должны быть уникальными.
  6. Для некоторых полей созданы исходные скрипты, которые:
    • деактивируют запись Сотрудника, если соотнесенная учетная запись в AD неактивна.
    • пропускают импорт набора, если учетная запись сотрудника неактивна в AD.
  7. На форме источника импорта нажмите Трансформировать, чтобы импортировать записи сотрудников.
  • Создана запланированный импорт, который ежедневно импортирует данные AD в определенное время. Активируйте запись запланированного импорта Daily Import SimpleOne Employees и настройте параметры для ежедневной загрузки данных.
  • Создан запланированный скрипт, который удаляет неактивные наборы импорта. Активируйте запись запланированный скрипта Deletion of Obsolete Import Sets, чтобы удалять ненужные наборы импорта. При удалении набора импорта происходит каскадное удаление колонки Набор импорта в таблице Элементы наборов.


Журнал LDAP


Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Main Logs (sys_log).

Чтобы перейти в записи журнала, перейдите в Настройки LDAP → Журнал LDAP.

Системные свойства LDAP


Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства перечислены ниже:

Название свойстваТипЗначение по умолчаниюОписание

user.authorization_when_no_ldap_connection

BooleantrueВключает авторизацию при отсутствии соединения LDAP.

user.ldap_authentication

BooleantrueВключает или отключает аутентификацию LDAP.

user.ldap_autoprovision

BooleantrueВключает автоматическое создание пользователей в таблице Пользователи, если на экземпляре нет такой записи.

Связанные статьи


  • No labels

© 2019-2024, SimpleOne

https://simpleone.ru