Интеграция с LDAP

Начиная с версии 5.0404 в системе появилась возможность использовать авторизацию в домене Active Directory и в домене на основе OpenLDAP сервера. При создании конфигурации, необходимо выбрать какой тип авторизации использовать.

Интеграция с LDAP

Для успешной интеграции с сервером каталогов OpenLDAP необходимо настроить ряд параметров как на самом OpenLDAP сервере, так и в системе vsDesk. Настройки со стороны vsDesk:

Активна - данный переключатель активирует данную конфигурацию и позволяет ее использовать.

Пользователь домена - доменная учетная запись, которая имеет права администратора OpenLDAP. Указывается в формате cn=admin,dc=domain,dc=local.

Пароль пользователя - пароль указанной учетной записи.

Суффикс аккаунта - обычно суффикс состоит из имени домена, например @domain.local.

Контроллер домена - IP адрес контроллера домена (сервер с OpenLDAP).

Базовый DN - путь до корня каталога, начало иерархии объектов OpenLDAP. Обычно выглядит как dc=domain,dc=local.

Users DN - путь до OU (организационной единицы) в которой хранятся ученые записи пользователей (posixAccount).

Groups DN - путь до OU (организационной единицы) в которой хранятся группы (posixGroup). В этой OU должны располагаться группы с именами, аналогичными названию ролей в системе vsdesk. Например vsdeskuser, vsdeskmanager, vsdeskadmin. Члены этих групп, указанные в атрибуте membersUID, получают в системе права, аналогичные роли.

Для правильного импорта данных из OpenLDAP мы настроили синхронизацию полей локального справочника Пользователи с атрибутами LDAP-каталога. Все учетные записи пользователей должны иметь Отличительное имя (dn) в формате uid=apetrov,ou=Users,dc=domain,dc=local.

Синхронизируемые поля

Пример иерархии OpenLDAP на скриншоте:

Интеграция с AD

Мы упростили процесс интеграции учетных записей с Active Directory. Теперь, настройка этой связки сводится к заполнению нескольких полей. Привязка, по-прежнему, происходит к группам безопасности Active Directory. Если при настройке вы создали определенные роли, то учтите, что необходимо в Active Directory создать группы безопасности, аналогичные названию роли. По умолчанию в демонстрационных данных существует 3 роли: vsdeskuser, vsdeskmanager, vsdeskadmin(эти группы тоже необходимо создать в AD). После создания групп безопасности, необходимо добавить в эти группы пользователей, в соответствии с требуемыми ролями и правами доступа. Пользователи добавляются непосредственно в группу, вложенные группы не поддерживаются. Далее, в верхнем меню, необходимо перейти в «Настройки – Интеграция с AD» и настроить первую конфигурацию, после чего, если это необходимо, создать еще конфигурации, если используется многодоменная схема сети.

Настройки интеграции с AD

1) Авторизация AD включена – данный переключатель включает возможность интеграции учетных записей. Суть интеграции состоит в том, что пользователь вбивает в форме входа в систему свои доменные учетные данные и система автоматически создает её локальную копию. Дальнейшая работа происходит уже с копией учетной записи. Если в домене изменяться данные, то система автоматически проверит и синхронизирует изменения. При включении данного переключателя, встроенная система авторизации продолжает работать, как и раньше, но при этом, не будет доступна регистрация пользователей. 2) Базовый DN – Базовый DN является отправной точкой в иерархии службы каталогов Active Directory, с которого начинается поиск. Введите в поле Base DN значение, соответствующее вашим настройкам. По умолчанию установлены демо данные: DC=domain, dc=local. 3) Суффикс аккаунта – используется для упрощения ввода логина пользователя. В нашем случае суффикс @domain.local подставляется автоматически при авторизации пользователя. 4) Контроллер домена – здесь необходимо указать IP адрес контроллера домена. 5) Пользователь домена – доменная учетная запись, которая имеет права на чтение атрибутов из Active Directory. 6) Пароль пользователя – пароль учетной записи, которая имеет права на чтение атрибутов из Active Directory. 7) fastAuth – позволяет не запрашивать у пользователя пару логин и пароль, но это может быть небезопасно и привести к подмене пользовательских данных. Для корректной работы требуется чтобы сервер с vsdesk был членом домена (Windows версия), интернет браузер Internet Explorer с добавленным в зону "Местная интрасеть" адресом сервера vsdesk (URL). Google Chrome использует те же настройки:

Либо браузер Firefox, у которого в настройках about:config в параметре network.automatic-ntlm-auth.trusted-uris необходимо указать адрес сервера с vsdesk (URL).

Протестировать подключение – при нажатии на эту кнопку система проверит подключение к контроллеру домена и укажет на ошибки, если таковые будут. При включении авторизации Active Directory будьте внимательны – неправильно введенные данные могут сделать механизм авторизации недоступным.

Синхронизируемые поля

Восстановление работоспособности интеграции

Если вы случайно ввели некорректные данные, включили авторизацию и сохранили изменения, вам необходимо очистить содержимое файла /protected/config/ad.inc или adXX.inc если у вас используется несколько конфигураций, и сохранить пустой файл, это поможет восстановить встроенную авторизацию и выполнить настройки заново.