Интеграция с LDAP и AD
Last updated
Last updated
В системе vsDesk есть возможность использовать авторизацию в домене Active Directory и в домене на основе OpenLDAP сервера. При создании конфигурации, необходимо выбрать какой тип авторизации использовать.
Внимание необходимо настраивать именно первую конфигурацию! Если вы ошибочно настроили первую конфигурацию, то последующие настроенные конфигурации не будут работать. Необходимо изменить настройки первой конфигурации. В случае ошибки можно
Для успешной интеграции с сервером каталогов OpenLDAP необходимо настроить ряд параметров как на самом OpenLDAP сервере, так и в системе vsDesk. Настройки со стороны vsDesk:
Активна - данный переключатель активирует данную конфигурацию и позволяет ее использовать.
Пользователь домена - доменная учетная запись, которая имеет права администратора OpenLDAP. Указывается в формате cn=admin,dc=domain,dc=local.
Пароль пользователя - пароль указанной учетной записи.
Суффикс аккаунта - обычно суффикс состоит из имени домена, например @domain.local.
Контроллер домена - IP адрес контроллера домена (сервер с OpenLDAP).
Базовый DN - путь до корня каталога, начало иерархии объектов OpenLDAP. Обычно выглядит как dc=domain,dc=local.
Users DN - путь до OU (организационной единицы) в которой хранятся ученые записи пользователей (posixAccount).
Groups DN - путь до OU (организационной единицы) в которой хранятся группы (posixGroup). В этой OU должны располагаться группы с именами, аналогичными названию ролей в системе vsdesk. Например vsdeskuser, vsdeskmanager, vsdeskadmin. Члены этих групп, указанные в атрибуте membersUID, получают в системе права, аналогичные роли.
Для правильного импорта данных из OpenLDAP мы настроили синхронизацию полей локального справочника Пользователи с атрибутами LDAP-каталога. Все учетные записи пользователей должны иметь Отличительное имя (dn) в формате uid=apetrov,ou=Users,dc=domain,dc=local.
Поле в справочнике "Пользователи"
Атрибут Active Directory
Полное имя
displayname
Телефон
telephonenumber
Внутренний телефон
mobile
Должность
title
Подразделение (сравнение со справочником "Подразделения")
departmentnumber
Комнтата
physicaldeliveryofficename
Компания (сравнение со справочником "Компании")
employeenumber
Руководитель
manager
Логин
uid
Пример иерархии OpenLDAP на скриншоте:
Мы упростили процесс интеграции учетных записей с Active Directory. Теперь, настройка этой связки сводится к заполнению нескольких полей. Привязка, по-прежнему, происходит к группам безопасности Active Directory. Если при настройке вы создали определенные роли, то учтите, что необходимо в Active Directory создать группы безопасности, аналогичные названию роли. По умолчанию в демонстрационных данных существует 3 роли: vsdeskuser, vsdeskmanager, vsdeskadmin(эти группы тоже необходимо создать в AD). После создания групп безопасности, необходимо добавить в эти группы пользователей, в соответствии с требуемыми ролями и правами доступа. Пользователи добавляются непосредственно в группу, вложенные группы не поддерживаются. Далее, в верхнем меню, необходимо перейти в «Настройки – Интеграция с AD» и настроить первую конфигурацию, после чего, если это необходимо, создать еще конфигурации, если используется многодоменная схема сети.
1) Авторизация AD включена – данный переключатель включает возможность интеграции учетных записей. Суть интеграции состоит в том, что пользователь вбивает в форме входа в систему свои доменные учетные данные и система автоматически создает её локальную копию. Дальнейшая работа происходит уже с копией учетной записи. Если в домене изменяться данные, то система автоматически проверит и синхронизирует изменения. При включении данного переключателя, встроенная система авторизации продолжает работать, как и раньше, но при этом, не будет доступна регистрация пользователей. 2) Базовый DN – Базовый DN является отправной точкой в иерархии службы каталогов Active Directory, с которого начинается поиск. Введите в поле Base DN значение, соответствующее вашим настройкам. По умолчанию установлены демо данные: DC=domain, dc=local. 3) Суффикс аккаунта – используется для упрощения ввода логина пользователя. В нашем случае суффикс @domain.local подставляется автоматически при авторизации пользователя. 4) Контроллер домена – здесь необходимо указать IP адрес контроллера домена. 5) Пользователь домена – доменная учетная запись, которая имеет права на чтение атрибутов из Active Directory. 6) Пароль пользователя – пароль учетной записи, которая имеет права на чтение атрибутов из Active Directory. 7) fastAuth – позволяет не запрашивать у пользователя пару логин и пароль, но это может быть небезопасно и привести к подмене пользовательских данных. Для корректной работы требуется чтобы сервер с vsdesk был членом домена (Windows версия), интернет браузер Internet Explorer с добавленным в зону "Местная интрасеть" адресом сервера vsdesk (URL). Google Chrome использует те же настройки:
Либо браузер Firefox, у которого в настройках about:config в параметре network.automatic-ntlm-auth.trusted-uris необходимо указать адрес сервера с vsdesk (URL).
Протестировать подключение – при нажатии на эту кнопку система проверит подключение к контроллеру домена и укажет на ошибки, если таковые будут. При включении авторизации Active Directory будьте внимательны – неправильно введенные данные могут сделать механизм авторизации недоступным.
Поле в справочнике "Пользователи"
Атрибут Active Directory
Полное имя
displayname
Телефон
telephoneNumber
Внутренний телефон
ipPhone
Должность
title
Подразделение (сравнение со справочником "Подразделения")
department
Комнтата
physicalDeliveryOfficeName
Компания (сравнение со справочником "Компании")
company
Руководитель
manager
Логин
userPrincipalName
Аватар
thumbnailPhoto
Если вы случайно ввели некорректные данные, включили авторизацию и сохранили изменения, вам необходимо очистить содержимое файла /protected/config/ad.inc или adXX.inc если у вас используется несколько конфигураций, и сохранить пустой файл, это поможет восстановить встроенную авторизацию и выполнить настройки заново.
