Легковесный протокол доступа к каталогам (LDAP) – это открытый, независимый от поставщика, стандартный для отрасли прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Internet Protocol (IP).

Интеграция с LDAP позволяет подключиться к серверу служб каталогов по LDAP (например Active Directory) и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и т.д.

Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com.

В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.

Пользователь может авторизоваться через свойство user.ldap_autoprovision, включающее Автоматическую инициализацию.

При самостоятельной попытке авторизации пользователя, который есть в каталоге LDAP, но которого нет в системе, на экземпляре автоматически создается запись пользователя  со сгенерированной электронной почтой в формате {случайная строка в 10 символов}@simple.test

  • Если пользовательские аккаунты создаются импортом из LDAP, установите значение false у свойства user.ldap_autoprovision.
  • Если автоматическая инициализация необходима, то обновите вручную поля в записи пользователя на корректные значения.

Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).

Система синхронизируется с сервером LDAP только через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье Запланированные скриптыТаким образом, при авторизации и других операциях данные не обновляются. 

Установка соединения LDAP

Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:

  1. Настройте сервер LDAP.
  2. Определите URL-адрес LDAP.
  3. (необязательно) Добавьте сертификат для установки безопасного LDAP-соединения.
  4. Настройте LDAP.
  5. Проверьте настройки.
  6. (необязательно) Импорт данных.

Дополнительные инструменты для настройки LDAP-соединения:

  1. Журнал LDAP
  2. Системные свойства LDAP

Настройка LDAP-сервера 

Для успешного подключения к серверу, сервер и текущий экземпляр SimpleOne должны быть доступны для подключения. Также должен быть открыт порт, по которому производится подключение. 

Учётная запись, с которой производится подключение, должна принадлежать к группе Domain User. Это означает, что пользователь должен иметь право на чтение каталога.

Чтобы настроить LDAP-соединение, выполните следующие шаги:

  1. Перейдите в LDAP → Серверы LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
  4. Скопируйте ID текущей записи.

Поля формы Сервер LDAP

ПолеОбязательноОписание
НаименованиеДаВведите название сервера.
Корневой каталогДа

Введите относительно уникальное имя (RDN) каталога поиска.

Пример: dc=instance,dc=ru

АктивенНетУстановите флажок, чтобы активировать сервер.
Имя пользователяДаУкажите логин пользователя для аутентификации в LDAP-соединения.
ПарольНетУкажите пароль сервера.

Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван.

Определение URL-адреса LDAP

Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.

Чтобы задать URL, выполните следующие шаги:

  1. Перейдите в LDAP → Адреса LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Поля формы Адрес LDAP

ПолеОбязательноОписание
URLДа

Введите LDAP/LDAPS URL. SSL-сертификат проверяет домен, а не IP-адрес, поэтому подключение производится по доменному адресу.

Пример для LDAP:

ldap://123.456.1.12:363

Пример для LDAPS:

ldaps://dc02-ds1.simpleone.ru:636

АктивенНетУстановите флажок, чтобы активировать URL-адрес.
ПорядокНет

Укажите порядок этого URL-адреса, если есть более одного похожего элемента. В этом случае они будут обрабатываться в порядке возрастания.

Операционный статусНет

Статус LDAP-соединения. Доступные значения:

  • Готов к соединению – резервный сервер настроен и готов к использованию.
  • Соединен – соединение установлено.
  • Нет соединения – система не синхронизуется с сервером.
  • Ошибка – что-то пошло не так. Проверьте Журнал LDAP.
Сервер LDAPДаУкажите соответствующий сервер.

Добавление сертификата

Если вам необходимо установить безопасное LDAP-соединение с помощью протоколов SSL, LDAPS через порт 636, вам нужно предоставить SSL-сертификат. Если у вас нет работающего сертификата, LDAP-соединение будет незащищённым. В таком случае используйте порт 389 (TCP/UDP).

Чтобы добавить SSL-сертификат, выполните следующие шаги:

  1. Перейдите в LDAP → Сертификаты.
  2. Нажмите Создать.

  3. Прикрепите файл SSL-сертификата.

    Требования к сертификату

    • Для корректной работы сертификат должен быть корневым (CA). 
    • Поддерживаемые форматы PEM (Privacy Enhanced Mail) имеют расширение .pem, .crt, .cer.
    • Файлы должны быть закодированы Base64 и начинаться со строки "----- BEGIN CERTIFICATE -----", а заканчиваться "----- END CERTIFICATE -----".
  4. После загрузки файла укажите Наименование сертификата и установите флажок Активен. Вы также можете добавить Краткое описание. Все остальные поля будут заполнены автоматически данными из прикрепленного файла. 
  5. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения. 

Поля формы Сертификат

Поле

Обязательно

Описание

Наименование

Да

Укажите наименование сертификата, по которому вы сможете идентифицировать его в списках.

Тема

Нет

Атрибуты сертификата. Это поле заполняется автоматически на основе данных сертификата. Вы можете найти больше информации об атрибутах в документации RFC 5280.

Эмитент

Нет

Кем выдан сертификат. Поле заполняется автоматически. 

Путь к файлу

Нет

 

Поле не используется.

Краткое описание

Нет

Укажите краткое описание сертификата. 

Активен

Нет

Установите флажок, чтобы сделать сертификат активным.

Действителен с

Нет

Дата, с которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата.

Действителен до

Нет

Дата, до которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата. SimpleOne не проверяет значение этого поля, однако соединение не будет установлено если срок действия сертификата истек.

Вы можете просмотреть список существующих сертификатов с формы записи Сервер LDAP. Для этого кликните Список сертификатов.

Настройка LDAP

После того, как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.

Чтобы настроить LDAP, выполните следующие шаги:

  1. Перейдите в LDAP → Настройка LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Поля формы Настройка LDAP

ПолеОбязательноОписание
НаименованиеДаУкажите название настройки LDAP. 
Относительное уникальное имяНетВведите относительно отличительное имя (RDN) подкаталога для поиска.
АктивноНетУстановите флажок, чтобы активировать настройку LDAP и разрешить импорт данных. 
Сервер LDAPДа

Укажите сервер LDAP, содержащий каталог пользователей, групп и другую информацию, связанную с LDAP.

Чтобы настроить сервер, перейдите в LDAP → Серверы LDAP и выполните необходимые шаги.

ТаблицаДа

Выберите целевую таблицу, в которой будут храниться данные с вашего сервера LDAP. Для пользователей выберите таблицу Users (user).

Указанная целевая таблица используется для автоматического создания записей.

ФильтрНет

Введите строку фильтра, чтобы выбрать определенные записи для импорта из OU (организационное подразделение). 

Например, этот фильтр определяет отрывок, как показано ниже:

  • квалифицируются как человек
  • есть значение атрибута sn
  • не компьютеры
  • не отмечаются как неактивные
  • и условия входа неравны admin@simpleone.ru

(&(objectClass=person)(sn=*)(!(objectClass=computer))(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(userPrincipalName=*.admin@simpleone.ru)))

Дополнительные сведения о синтаксисе фильтра LDAP смотрите в документации RFC.

Поле запросаНет

Укажите имя атрибута на сервере LDAP для запроса записей.

В Active Directory чаще всего используется атрибут sAMAccountName. Другие серверы LDAP, как правило, используют атрибут cn.

Обратите внимание, что Поле запроса временно работает некорректно. Наша команда работает над улучшением его логики, чтобы сделать ее более эффективной и безопасной. Мы сообщим вам об изменениях в следующих релизах платформы.

Перечень атрибутовНет

Используйте это поле, чтобы указать (включить и ограничить) атрибуты, возвращаемые запросом LDAP. Этот подход предпочтителен для больших объемов импорта LDAP для сокращения времени.

Если поле остается пустым, система загружает все объекты с их атрибутами, которые разрешено читать вашему LDAP-серверу.

Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.

Проверка настроек 

Убедитесь, что соединение настроено, выполнив следующие действия:

  1. Перейдите в LDAP → Серверы LDAP.
  2. Откройте нужную запись.
    1. Нажмите Проверить соединение, чтобы проверить первое по порядку соединение по URL. 
    2. Нажмите Проверить соединения, чтобы проверить все соединения. 

При возникновении ошибок, проверьте Журнал LDAP записи.

Импорт из LDAP 

Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.

Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:

  • Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
  • Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.

На схеме ниже показан процесс импорта данных с сервера LDAP.

Подробнее читайте в статье Импорт LDAP.


Пример настройки интеграции с AD

Готовое решение SimpleOne содержит пример настройки подключения к службе Active Directory (AD).

Ознакомьтесь с ним перед настройкой LDAP импорта на экземпляре. Настройки примера поставляются в не редактируемом виде. Используйте пункт бургер-меню Создать копию на формах каждой записи для копирования настроек.

Созданы и настроены следующие записи:

  • LDAP Сервер Demo_Active_Directory с примером LDAP URL. В копии записи задайте параметры необходимого сервера.

  • настройки LDAP SimpleOneCourses1 и SimpleOneCourses2. Используйте одну из настроек в качестве примера для создания рабочего соединения с AD.

    ПолеЗначениеОписание
    Фильтр


    SimpleOneCourses1

    (&

     (objectClass=person)

    (sn=*)

    )

    SimpleOneCourses2

    (&

     (objectClass=person,top)

    (sn=*)

    )

    		Заданный фильтр выбирает записи пользователей с любым именем для импорта из AD.
    Поле запросаsAMAccountNameПоле, которое используется для подключения к AD и запроса записей.
    Перечень атрибутовsamaccountname,sn,givenname,distinguishedname,msDS-cloudExtensionAttribute6,telephonenumber, mobile,mail,manager,company,useraccountcontrol,thumbnailphotoАтрибуты, возвращаемые запросом LDAP.
  • источник импорта LDAP Users. Используйте один источник импорта для похожих настроек LDAP.
  • запланированные импорты Daily Import SimpleOne Employees и Daily Import SimpleOne Employees 2. Данные AD импортируются каждый день в определенное время. Используйте один из импортов как пример создания своего запланированного импорта.
  • запланированный скрипт Daily Deletion of Obsolete Import Sets. Скрипт удаляет наборы для источника импорта данных LDAP Users и связанные записи в таблице Элементы наборов. Скрипт удаляет все наборы импорта, кроме последнего созданного.

Для соединения и импорта пользователей из AD, выполните следующие шаги:

  1. Создайте локальный пакет в приложении Simple для настройки LDAP импорта.
  2. Создайте копии записей, упомянутых выше, и настройте интеграцию LDAP, изменив значения полей на нужные.
  3. Нажмите Проверить соединение на форме сервера LDAP. Если соединение установлено успешно, нажмите Обзор LDAP, чтобы проверить структуру LDAP.
  4. После проверки структуры, перейдите на форму нужной настройки LDAP и откройте связанный источник импорта. 
  5. (опционально) Нажмите Пробная загрузка (20 записей), чтобы создать тестовый набор импорта.
  6. Нажмите Загрузить всe.
  7. Нажмите Соотношения таблиц для создания Схемы трансформации. Значение поля Исходная таблица должно совпадать со значением поля Таблица на форме Настройки LDAP.
  8. На форме Схемы трансформации создайте соотношения полей через связанный список. Для полей Логин и Электронная почта установлен флажок Объединить данные. Параметр определяет поля целевой таблицы, которые будут использоваться для поиска записей на основе импортированных данных. Если запись найдена в целевой таблице, она будет обновлена. В противном случае будет создана новая запись.
  9. Вернитесь на форму Источника импорта и откройте запись Набора импорта через связанный список.
  10. Нажмите Трансформировать, чтобы импортировать данные из AD.
  11. Настройте копию запланированного импорта Daily Import SimpleOne Employees. Добавьте ссылку на ранее созданный источник импорта.
  12. Настройте копию запланированного скрипта Daily Deletion of Obsolete Import Sets и установите флажок Активно. Скопируйте ID источника импорта в переменную import_source_id скрипта.


Журнал LDAP

Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Основной журнал (sys_log).

Чтобы перейти в записи журнала, перейдите в LDAP → Журнал LDAP.

Поля формы Журнал LDAP

ПоляОписание
ИсточникОтображает источник, из которого поступает эта запись журнала (например, LDAP authorization или LDAP autoprovision).
СообщениеТекст сообщения записи журнала.
Уровень

В этом поле указывается уровень ошибки. Доступные варианты:

  • Информация
  • Ошибка
  • Предупреждение
  • Отладка
Имя пользователяСсылка на пользователя, инициировавшего создание этой записи.

Системные свойства LDAP 

Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства можно найти в статье Свойства LDAP.

  • No labels

© 2019-2024, SimpleOne

https://simpleone.ru