You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 7 Next »


LDAP integration allows your instance using your LDAP or AD server as the source of the user data. It provides the ability to connect to directory service storing the authentification data, such as usernames, passwords, user home directories used for keeping business and other data, etc. In this client-server infrastructure scheme, the SimpleOne instance has to be a client connecting to the LDAP server. 

Configuring an LDAP connection

To configure an LDAP connection, you need to set up in the system first. For this, please complete the steps below:

  1. Navigate to System LDAP → LDAP Servers;
  2. Click New, fill in the fields and click Save.

LDAP Server form fields

FieldDescription
NameEnter the server name.
UsernameSpecify the username authenticating the LDAP connection.
PasswordSpecify the server's password.
Root directory

Enter the RDN (relative distinguished name) of the search directory.

Example: dc=simpleone, dc=ru.

ActiveSelect this checkbox to make the server active or inactive.

If the RDN is not specified, then during the authorization process LDAP server will endeavour to reach the server root directory; if the user logging on to is not authorized to access this directory, so the authorization process will be interrupted.

Specifying the LDAP server

Sometimes, customer infrastructure may contain more than one LDAP server, as an example, for fault tolerance. In this case, you may need to specify some particular server used for authorization on the SimpleOne instance.

To perform this, please complete the steps below:

  1. Navigate to System LDAP → LDAP URL;
  2. Click New, fill in the fields and click Save.

LDAP URL form fields

FieldDescription
URL

Enter the LDAP URL there. Here's an example:

ldaps://192.168.1.12:363

ActiveSelect this checkbox to make the URL active or inactive.
OrderSpecify the order of this URL if there are more than one similar items. In this case, they will be processed in the descending order.
Operational status
  • Error;
  • Disconnected;
  • Connected.
ServerSpecify the appropriate LDAP server (choose it from the previously created).

If you want to establish a secure LDAP connection via port 363, then you need to provide the SSL-certificate.

For this, please complete the steps below:

  1. Navigate to System LDAP → Certificates;
  2. Click New to create a new record;
  3. Attach your certificate (.crt or .ca-bundle) file here;
  4. Click Save.

The form will get information from your certificate and place it into relevant fields.

Для чего используется

Это настроенное подключение используется для авторизации на портале или для того, чтобы синхронизироваться с порталом. Вот у нас тут LDAP Definition.

LDAP Definition - это именно твой запрос на сервер Active Directory, это запрос, по которому ты будешь тянуть пользователей оттуда. Указывается LDAP сервер. Этот LDAP definition потом используется в Import source.

Фильтр - это выборка, по которой мы указываем адрес, с которого мы начинаем тянуть, указываем фильтр, и с указываемыми параметрами у нас подтягиваются все пользователи. И дальше этот перечень пользователей мы можем синхронизировать со своим списком юзеров. Это идет через импорт. 

Query field - это поле, с помощью которого будет определяться идентификация в системе, т.е. атрибут.


Есть три проперти:

user.ldap_autoprovision - когда мы логинимся, и если нас нет в системе, он слазил в лдап, проверил, что наш юзер и пароль имеет креденшиалы реальные, он создаст нашего пользователя. Всем созданным таким образом пользователям проставляется LDAP-сервер, через который они созданы, и source - вот этот адрес, в котором они живут. LDAP адрес к этому пользователю.

user.authorization_when_no_ldap_connect - использование локальных учетных данных в случае, если LDAP сервер недоступен.

user.ldap_authentication - включает саму возможность LDAP аутентификации.



Глобальная цель механизма LDAP - импорт юзеров в систему. И тем самым мы синхронизируемся и с аутлуком, и с учетной записью эксчейнджа, у нас учетная запись на все. 


LDAP log

System LDAP → LDAP Log

можем смотреть, кто логинится, через какой сервер; можем посмотреть ошибки, кто ломился неправильно. 

Логи на самом деле пишутся в sys_log. Здесь они выводятся из этой же таблицы, просто настроен фильтр



LDAP

Server

URL

Certificates



Вариант

Выделить две части:

  1. Настройка коннекта (указание авторизационных данных, серверов, указывание сертификатов (про них можно чуть подробнее, если получится).
  2. Использование настроенного коннекта: LDAP Definition, например, в импорте, ну и ссылку на импорт можно. Упомянуть про проперти


  • No labels

© 2019-2023, SimpleOne

https://simpleone.ru