You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 9 Next »


LDAP integration allows your instance using your LDAP or AD server as the source of the user data. It provides the ability to connect to directory service storing the authentification data, such as usernames, passwords, user home directories used for keeping business and other data, etc. In this client-server infrastructure scheme, the SimpleOne instance has to be a client connecting to the LDAP server. 

Configuring an LDAP connection

Specifying a LDAP server

To configure an LDAP connection, you need to set up in the system first. For this, please complete the steps below:

  1. Navigate to System LDAP → LDAP Servers;
  2. Click New, fill in the fields and click Save.

LDAP Server form fields

FieldDescription
NameEnter the server name.
UsernameSpecify the username authenticating the LDAP connection.
PasswordSpecify the server's password.
Root directory

Enter the RDN (relative distinguished name) of the search directory.

Example: dc=simpleone, dc=ru.

ActiveSelect this checkbox to make the server active or inactive.

If the RDN is not specified, then during the authorization process LDAP server will attempt to reach the server root directory; if the user logging on to is not authorized to access this directory, so the authorization process will be interrupted.

Specifying the LDAP server

Sometimes, customer infrastructure may contain more than one LDAP server, as an example, for fault tolerance. In this case, you may need to specify some particular server used for authorization on the SimpleOne instance.

To perform this, please complete the steps below:

  1. Navigate to System LDAP → LDAP URL;
  2. Click New, fill in the fields and click Save.

LDAP URL form fields

FieldDescription
URL

Enter the LDAP URL there. Here's an example:

ldaps://192.168.1.12:363

ActiveSelect this checkbox to make the URL active or inactive.
OrderSpecify the order of this URL if there are more than one similar items. In this case, they will be processed in the descending order.
Operational status
  • Error;
  • Disconnected;
  • Connected.
ServerSpecify the appropriate LDAP server (choose it from the previously created).

If you want to establish a secure LDAP connection via port 363, then you need to provide the SSL-certificate.

For this, please complete the steps below:

  1. Navigate to System LDAP → Certificates;
  2. Click New to create a new record;
  3. Attach your SSL-certificate (.crt or .ca-bundle) file here;
  4. Click Save.

The form will get information from your certificate and place it into relevant fields.

LDAP Definition

After you have configured a LDAP server, and a LDAP URL, and performed all necessary customer infrastructure preparations, then you are ready to arrange a LDAP Definition. This is a formalized query to the Active Directory server containing the following information:

Importing using LDAP
LDAP Definition form fields
FieldMandatoryDescription
NameYSpecify the LDAP definition name. The name you enter here becomes a target in the Import Sources record.
ActiveNSelect this checkbox to activate the LDAP definition and to allow data import.
Relative Distinguished Name (RDN)NEnter the relative distinguished name (RDN) of the subdirectory to search through.
ServerY

Specify the LDAP server containing users and groups directory and other information related to LDAP.

To configure the server, navigate to System LDAP → LDAP Servers and perform the needed actions.

TableY

Select the target table that will store data from your LDAP server. For users, select the Users (sys_user) table.

The target table specified is used for LDAP auto-provisioning (automatic creation of users in the Users (sys_user) table). This feature can be enabled or disabled by setting the user.ldap_autoprovision property.

FilterN

Enter a filter string to select specific records to import from the OU (organizational unit). 

For example, this filter specifies the excerpt, as shown below:

  • classified as a person
  • have an sn attribute value
  • are not computers
  • are not flagged as inactive
  • and login prerequisites are not equal to 'admin@simpleone.ru'

(&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=*.admin@simpleone.ru)))

For more information about LDAP filter syntax, refer to the appropriate RFC.

Query FieldN

Specify the attribute name within the LDAP server for querying the records.

Active Directory mostly uses the sAMAccountName attribute. Other LDAP servers tend to use the cn attribute.

Note that the Query Field is temporarily not working correctly – our team is working on its logic improvement to make it more efficient and secure. We will inform you about changes in the next releases.

Attribute ListN

Use the Attribute List field to specify (include and limit) the attributes the LDAP query returns. This approach is preferable for large LDAP imports in terms of timing.

If the field remains empty, the system loads all the objects with their attributes that your LDAP server is allowed to read.

Для чего используется

Это настроенное подключение используется для авторизации на портале или для того, чтобы синхронизироваться с порталом. Вот у нас тут LDAP Definition.

LDAP Definition - это именно твой запрос на сервер Active Directory, это запрос, по которому ты будешь тянуть пользователей оттуда. Указывается LDAP сервер. Этот LDAP definition потом используется в Import source.

Фильтр - это выборка, по которой мы указываем адрес, с которого мы начинаем тянуть, указываем фильтр, и с указываемыми параметрами у нас подтягиваются все пользователи. И дальше этот перечень пользователей мы можем синхронизировать со своим списком юзеров. Это идет через импорт. 

Query field - это поле, с помощью которого будет определяться идентификация в системе, т.е. атрибут.


Есть три проперти:

user.ldap_autoprovision - когда мы логинимся, и если нас нет в системе, он слазил в лдап, проверил, что наш юзер и пароль имеет креденшиалы реальные, он создаст нашего пользователя. Всем созданным таким образом пользователям проставляется LDAP-сервер, через который они созданы, и source - вот этот адрес, в котором они живут. LDAP адрес к этому пользователю.

user.authorization_when_no_ldap_connect - использование локальных учетных данных в случае, если LDAP сервер недоступен.

user.ldap_authentication - включает саму возможность LDAP аутентификации.



Глобальная цель механизма LDAP - импорт юзеров в систему. И тем самым мы синхронизируемся и с аутлуком, и с учетной записью эксчейнджа, у нас учетная запись на все. 


LDAP log

System LDAP → LDAP Log

можем смотреть, кто логинится, через какой сервер; можем посмотреть ошибки, кто ломился неправильно. 

Логи на самом деле пишутся в sys_log. Здесь они выводятся из этой же таблицы, просто настроен фильтр



LDAP

Server

URL

Certificates



Вариант

Выделить две части:

  1. Настройка коннекта (указание авторизационных данных, серверов, указывание сертификатов (про них можно чуть подробнее, если получится).
  2. Использование настроенного коннекта: LDAP Definition, например, в импорте, ну и ссылку на импорт можно. Упомянуть про проперти


  • No labels