Внешняя аутентификация
На этой странице описано, как пользоваться функциями интеграции Платформы с серверами Active Directory/FreeIPA/ALD pro в едином профиле LDAP.
Чтобы воспользоваться функционалом LDAP, нажмите на шестерёнку настроек → Интеграции → Внешняя аутентификация.
Откроется вкладка LDAP страницы «Внешняя аутентификация»:
Подключение к LDAP и настройка профиля
Внимание
Ответственность за безопасную настройку конфигурации LDAP и настройку безопасного соединения несет клиент компании.
Ниже рассмотрены варианты подключения к следующим службам каталогов:
Active Directory (AD)
Чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:
Шаг 1.
Укажите доменное имя или IP-адрес контроллера домена, например, «10.128.0.189».
Укажите порт — 389 для незащищенного соединения или 636 для защищённого.
Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».
Шаг 2.
Укажите адрес почты пользователя, от имени которого Платформа будет аутентифицироваться в LDAP, например, «serviceman@ad.tantorlabs.ru».
Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP
Шаг 3.
Настройте условия для поиска пользователей и групп в LDAP:
путь к пользователям, например, «cn=Users, dc=company,dc=com»;
путь к группам, например, «cn=Users, dc=ad, dc=tantorlabs, dc=ru»;
фильтр поиска по группам, например, «(&(objectClass=group)(cn=Tantor*))».
Шаг 4.
Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:
параметр «Логин» пользователя LDAP, например, «sAMAccountName»;
параметр «Имя» пользователя LDAP, например, «givenName»;
параметр «Фамилия» пользователя LDAP, например, «sn»;
параметр «Email» пользователя LDAP, например, «mail».
Важно
Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.
После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения — 10 секунд. Если соединение успешно, активируется кнопка «Подтвердить и завершить интеграцию».
После нажатия этой кнопки начнётся загрузка пользователей.
При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.
FreeIPA
Для того, чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:
Шаг 1.
Укажите доменное имя или IP-адрес контроллера домена, например, «freeipa.tantorlabs.ru».
Укажите порт — 389 для незащищенного соединения или 636 для защищённого.
Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».
Шаг 2.
Укажите имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP, например, «uid=serviceman,cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru».
Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP.
Шаг 3.
Настройте условия для поиска пользователей и групп в LDAP:
путь к пользователям, например, «cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»;
путь к группам, например, «cn=groups,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»;
фильтр поиска по группам, например, ««(cn=*)»».
Шаг 4.
Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:
параметр «Логин» пользователя LDAP, например, «krbPrincipalName»;
параметр «Имя» пользователя LDAP, например, «givenName»;
параметр «Фамилия» пользователя LDAP, например, «sn»;
параметр «Email» пользователя LDAP, например, «mail».
Важно
Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.
После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения — 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».
После нажатия этой кнопки начнётся загрузка пользователей.
При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.
ALD Pro
Чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:
Шаг 1.
Укажите доменное имя или IP-адрес контроллера домена, например, «master-01.aldpro.tantorlabs.ru».
Укажите порт — 389 для незащищенного соединения или 636 для защищённого.
Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».
Шаг 2.
Укажите имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP, например, «uid=serviceman,cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru».
Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP.
Шаг 3.
Настройте условия для поиска пользователей и групп в LDAP:
путь к пользователям, например, «cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»;
путь к группам, например, «cn=groups,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»;
фильтр поиска по группам, например, ««(cn=*)»».
Шаг 4.
Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:
параметр «Логин» пользователя LDAP, например, «krbPrincipalName»;
параметр «Имя» пользователя LDAP, например, «givenName»;
параметр «Фамилия» пользователя LDAP, например, «sn»;
параметр «Email» пользователя LDAP, например, «mail».
Важно
Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.
После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения - 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».
После нажатия этой кнопки начнётся загрузка пользователей.
При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.
Смена подключения или настроек профиля
Чтобы изменить подключение или другие параметры профиля, нажмите на кнопку «Изменить» в правом верхнем углу.
Удаление LDAP интеграции
Чтобы удалить LDAP интеграцию, нажмите на кнопку «Удалить» в правом верхнем углу.
В текстовом поле введите «удалить» и нажмите на кнопку «Удалить».
Группы пользователей LDAP
Чтобы открыть страницу групп пользователей нажмите на шестеренку настроек → Группы.
На странице групп пользователей в столбце «Тип группы» отображается, в какую группу добавлены пользователи каталогов идентификации — тип группы «Внешний», а в какую локальные пользователи — тип группы «Локальный».
Нажмите на иконку карандаша в столбце «Пользователи», чтобы перейти к списку пользователей группы. На этой странице можно посмотреть имя пользователя LDAP.
Внимание
На странице «Группы» нельзя редактировать название и описание групп LDAP. Кнопки добавления и удаления групп LDAP на этой странице открывают профиль LDAP.