Внешняя аутентификация

В этом разделе описано, как пользоваться функциями интеграции Платформы с серверами Active Directory/FreeIPA/ALD pro в едином профиле LDAP.

Страница External Auth («Внешняя аутентификация»)

Для того чтобы воспользоваться функционалом LDAP, нужно нажать на шестерёнку настроек → Интеграции → Внешняя аутентификация.

Откроется страница External Auth («Внешняя аутентификация») со вкладкой LDAP:

Подключение к LDAP и настройка профиля

Внимание

Ответственность за безопасную настройку конфигурации LDAP и настройку безопасного соединения несет клиент компании.

Ниже рассмотрены варианты подключения к следующим службам каталогов:

Active Directory (AD)

Для того, чтобы подключиться к LDAP и настроить профиль, введите следующие параметры:

Шаг 1.

  • Доменное имя или IP-адрес контроллера домена (например, «110.128.0.189»)

  • Порт - 389 для незащищенного соединения или 636 для защищённого (на первом этапе заполнения полей высветится чекбокс, в котором можно поставить галочку, если соединение защищённое)

Шаг 2.

  • Адрес почты пользователя, от имени которого Платформа будет аутентифицироваться в LDAP (например, «serviceman@ad.tantorlabs.ru»)

  • Пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP

Шаг 3.

Настройте условия для поиска пользователей и групп в LDAP:

  • Путь к пользователям (например, «cn=Users, dc=company,dc=com»)

  • Путь к группам (например, «cn=Users, dc=ad, dc=tantorlabs, dc=ru»)

  • Фильтр поиска по группам (например, «(&(objectClass=group)(cn=Tantor*))»)

Шаг 4.

Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

  • Параметр «Логин» пользователя LDAP (например, «sAMAccountName»)

  • Параметр «Имя» пользователя LDAP (например, «givenName»)

  • Параметр «Фамилия» пользователя LDAP (например, «sn»)

  • Параметр «Email» пользователя LDAP (например, «mail»)

Важно

Пользователь не будет добавлен, если у него в качестве Login указан атрибут LDAP, и данный атрибут не заполнен/пустой.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения - 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, не связанные с внутренними пользователями и группами.

FreeIPA

Для того, чтобы подключиться к LDAP и настроить профиль, введите следующие параметры:

Шаг 1.

  • Доменное имя или IP-адрес контроллера домена (например, «freeipa.tantorlabs.ru»)

  • Порт - 389 для незащищенного соединения или 636 для защищённого (на первом этапе заполнения полей высветится чекбокс, в котором можно поставить галочку, если соединение защищённое)

Шаг 2.

  • Имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP (например, «uid=serviceman,cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»)

  • Пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP

Шаг 3.

Настройте условия для поиска пользователей и групп в LDAP:

  • Путь к пользователям (например, «cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»)

  • Путь к группам (например, «cn=groups,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»)

  • Фильтр поиска по группам (например, «(cn=*)»)

Шаг 4.

Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

  • Параметр «Логин» пользователя LDAP (например, «krbPrincipalName»)

  • Параметр «Имя» пользователя LDAP (например, «givenName»)

  • Параметр «Фамилия» пользователя LDAP (например, «sn»)

  • Параметр «Email» пользователя LDAP (например, «mail»)

Важно

Пользователь не будет добавлен, если у него в качестве Login указан атрибут LDAP, и данный атрибут не заполнен/пустой.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения - 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, не связанные с внутренними пользователями и группами.

ALD Pro

Для того, чтобы подключиться к LDAP и настроить профиль, введите следующие параметры:

Шаг 1.

  • Доменное имя или IP-адрес контроллера домена (например, «master-01.aldpro.tantorlabs.ru»)

  • Порт - 389 для незащищенного соединения или 636 для защищённого (на первом этапе заполнения полей высветится чекбокс, в котором можно поставить галочку, если соединение защищённое)

Шаг 2.

  • Имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP (например, «uid=serviceman,cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»)

  • Пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP

Шаг 3.

Настройте условия для поиска пользователей и групп в LDAP:

  • Путь к пользователям (например, «cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»)

  • Путь к группам (например, «cn=groups,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»)

  • Фильтр поиска по группам (например, «(cn=*)»)

Шаг 4.

Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

  • Параметр «Логин» пользователя LDAP (например, «krbPrincipalName»)

  • Параметр «Имя» пользователя LDAP (например, «givenName»)

  • Параметр «Фамилия» пользователя LDAP (например, «sn»)

  • Параметр «Email» пользователя LDAP (например, «mail»)

Важно

Пользователь не будет добавлен, если у него в качестве Login указан атрибут LDAP, и данный атрибут не заполнен/пустой.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения - 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, не связанные с внутренними пользователями и группами.

Смена подключения или настроек профиля

Для того, чтобы изменить подключение или другие параметры профиля, нажмите на кнопку «Изменить» в правом верхнем углу.

Удаление LDAP интеграции

Для того, чтобы удалить LDAP интеграцию, нажмите на кнопку «Удалить» в правом верхнем углу.

Подтвердите свои действия, написав «удалить» в поле высветившегося модального окна.

Группы пользователей LDAP

В настройках во вкладке «Группы» можно смотреть, в какой группе пользователи каталогов идентификации, а в какой локальные пользователи.

В столбце «Тип» будет написано «Локальный» или «Внешний». Посмотрев в столбце «Имя пользователя» участников нужных групп, можно увидеть конкретных пользователей LDAP.

Внимание

В разделе «Группы» настроек нет возможности редактировать описание групп LDAP, создавать или удалять их. При попытке совершить эти действия вы будете перенаправляться в профиль LDAP.