Интеграция с LDAP
Начиная с версии 5.0404 в системе появилась возможность использовать авторизацию в домене Active Directory и в домене на основе OpenLDAP сервера. При со�здании конфигурации, необходимо выбрать какой тип авторизации использовать.
Для успешной интеграции с сервером каталогов OpenLDAP необходимо настроить ряд параметров как на самом OpenLDAP сервере, так и в системе vsDesk. Настройки со стороны vsDesk:
Активна - данный переключатель активирует данную конфигурацию и позволяет ее использовать.
Пользователь домена - доменная учетная запись, которая имеет права администратора OpenLDAP. Указывается в формате cn=admin,dc=domain,dc=local.
Пароль пользователя - пароль указанной учетной записи.
Суффикс аккаунта - обычно суффикс состоит из имени домена, например @domain.local.
Контроллер домена - IP адрес контроллера домена (сервер с OpenLDAP).
Базовый DN - путь до корня каталога, начало иерархии объектов OpenLDAP. Обычно выглядит как dc=domain,dc=local.
Users DN - путь до OU (организационной единицы) в которой хранятся ученые записи пользователей (posixAccount).
Groups DN - путь до OU (организационной единицы) в которой хранятся группы (posixGroup). В этой OU должны располагаться группы с именами, аналогичными названию ролей в системе vsdesk. Например vsdeskuser, vsdeskmanager, vsdeskadmin. Члены этих групп, указанные в атрибуте membersUID, получают в системе права, аналогичные роли.
Для правильного импорта данных из OpenLDAP мы настроили синхронизацию полей локального справочника Пользователи с атрибутами LDAP-каталога. Все учетные записи пользователей должны иметь Отличительное имя (dn) в формате uid=apetrov,ou=Users,dc=domain,dc=local.
Поле в справочнике "Пользователи" | Атрибут Active Directory |
Полное имя | displayname |
Email | mail |
Телефон | telephonenumber |
Внутренний телефон | mobile |
Должность | title |
Подразделение (сравнение со справочником "Подразделения") | departmentnumber |
Комнтата | physicaldeliveryofficename |
Компания (сравнение со справочником "Компании") | employeenumber |
Руководитель | manager |
Логин | uid |
Пример иерархии OpenLDAP на скриншоте:
Мы упростили процесс интеграции учетных записей с Active Directory. Теперь, настройка этой связки сводится к заполнению нескольких полей. Привязка, по-прежнему, происходит к группам безопасности Active Directory. Если при настройке вы создали определенные роли, то учтите, что необходимо в Active Directory создать группы безопасности, аналогичные названию роли. По умолчанию в демонстрационных данных существует 3 роли: vsdeskuser, vsdeskmanager, vsdeskadmin(эти группы тоже необходимо создать в AD).
После создания групп безопасности, необходимо добавить в эти группы пользователей, в соответствии с требуемыми ролями и правами доступа. Пользователи добавляются непосредственно в группу, вложенные группы не поддерживаются.
Далее, в верхнем меню, необходимо перейти в «Настройки – Интеграция с AD» и настроить первую конфигурацию, после чего, если это необходимо, создать еще конфигурации, если используется многодоменная схема сети.
1) Авторизация AD включена – данный переключатель включает возможность интеграции учетных записей. Суть интеграции состоит в том, что пользователь вбивает в форме входа в систему свои доменные учетные данные и система автоматически создает её локальную копию. Дальнейшая работа происходит уже с копией учетной записи. Если в домене изменяться данные, то система автоматически проверит и синхронизирует изменения. При включении данного переключателя, встроенная система авторизации продолжает работать, как и раньше, но при этом, не будет доступна регистрация пользователей.
2) Базовый DN – Базовый DN является отправной точкой в иерархии службы каталогов Active Directory, с которого начинается поиск. Введите в поле Base DN значение, соответствующее вашим настройкам. По умолчанию установлены демо данные: DC=domain, dc=local.
3) Суффикс аккаунта – используется для упрощения ввода логина пользователя. В нашем случае суффикс @domain.local подставляется автоматически при авторизации пользователя.
4) Контроллер домена – здесь необходимо указать IP адрес контроллера домена.
5) Пользователь домена – доменная учетная запись, которая имеет права на чтение атрибутов из Active Directory.
6) Пароль пользователя – пароль учетной записи, которая имеет права на чтение атрибутов из Active Directory.
7) fastAuth – позволяет не запрашивать у пользователя пару логин и пароль, но это может быть небезопасно и привести к подмене пользовательских данных. Для корректной работы тр�ебуется чтобы сервер с vsdesk был членом домена (Windows версия), интернет браузер Internet Explorer с добавленным в зону "Местная интрасеть" адресом сервера vsdesk (URL). Google Chrome использует те же настройки:
Либо браузер Firefox, у которого в настройках about:config в параметре network.automatic-ntlm-auth.trusted-uris необходимо указать адрес сервера с vsdesk (URL).
Протестировать подключение – при нажатии на эту кнопку система проверит подключение к контроллеру домена и укажет на ошибки, если таковые будут.
При включении авторизации Active Directory будьте внимательны – неправильно введенные данные могут сделать механизм авторизации недоступным.
Поле в справочнике "Пользователи" | Атрибут Active Directory |
Полное имя | displayname |
Email | mail |
Телефон | telephoneNumber |
Внутренний телефон | ipPhone |
Должность | title |
Подразделение (сравнение со справочнико�м "Подразделения") | department |
Комнтата | physicalDeliveryOfficeName |
Компания (сравнение со справочником "Компании") | company |
Руководитель | manager |
Логин | userPrincipalName |
Аватар | thumbnailPhoto |
Если вы случайно ввели некорректные данные, включили авторизацию и сохранили изменения, вам необходимо очистить содержимое файла /protected/config/ad.inc или adXX.inc если у вас используется несколько конфигураций, и сохранить пустой файл, это поможет восстановить встроенную авторизацию и выполнить настройки заново.
Last modified 2yr ago