Перейти к содержанию

Службы каталогов

В данном разделе производится настройка интеграции с MS AD сервером по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD без создания пользователя в системе управления.

При выборе раздела Безопасность - Службы каталогов в рабочей области окна интерфейса содержится список названий служб. Также доступны следующие операции:

  • обновление информации;
  • добавление службы каталогов;
  • настройки AD FS.

Примечание

Допускается добавление только одной службы каталогов.

Для добавления службы каталогов необходимо нажать кнопку Добавить службу каталогов и в открывшемся диалоговом окне заполнить:

  • название службы каталогов;
  • NetBIOS имя домена (записывается в формате domain);
  • полное имя домена (записывается в формате domain.local);
  • тип подключения;
  • URL (записывается в формате ldap(s)://IP или ldap(s)://URL). Допустимые символы a-z,A-Z,0-9,.,-,_,+;
  • тип службы (выбор из раскрывающегося списка);
  • имя пользователя (учетная запись в MS AD, с использованием которой будет выполняться синхронизация);
  • пароль пользователя;
  • описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить.

Примечание

Пользователь Windows AD должен иметь права (в AD) для проверки авторизации других пользователей. Такие права имеют администраторы домена AD и администраторы более высокого уровня. При применении на предприятии политик безопасности, не допускающих использование удаленной авторизации пользователей с высоким уровнем доступа, необходимо обратиться к документации по управлению Windows AD для разрешения пользователю сетевой проверки авторизации.

Для изменения или просмотра сведений о службе каталогов необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной службы и информация по ней, разграниченная по следующим вкладкам:

  • информация;
  • соответствия;
  • группы.

При выборе вкладки Информация в рабочей области отображаются следующие сведения о службе каталогов:

  • название (редактируемый параметр);
  • NetBIOS имя домена (редактируемый параметр);
  • полное имя домена (редактируемый параметр);
  • адрес службы каталогов (URL) (редактируемый параметр);
  • тип службы;
  • описание (редактируемый параметр);
  • имя пользователя (редактируемый параметр);
  • пароль (редактируемый параметр).

В окне управления службой каталогов доступны следующие операции:

  • обновление информации;
  • удаление службы каталогов. При нажатии на кнопку Удалить в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
  • проверка соединения. При нажатии на кнопку Проверка соединения осуществляется проверка соединения со службой каталогов. При успешном соединении в области отображения кнопки появляется "галочка" и надпись Успешно, выделенная зеленым цветом. При отсутствии соединения в области отображения кнопки появляется "крестик" и надпись Нет соединения, выделенная красным цветом.
  • конфигурация SSO;
  • для типа OpenLDAP синхронизация пользователей. При нажатии на кнопку Синхронизировать пользователей осуществляется проверка соединения со службой каталогов и синхронизация всех доступных пользователей. При успешной синхронизации в области отображения кнопки появляется "галочка" и надпись Синхронизировано, выделенная зеленым цветом. В противном случае в области отображения кнопки появляется "крестик" и надпись Не синхронизировано, выделенная красным цветом.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Примечание

При синхронизации пользователей из AD переносятся атрибуты: имя, фамилия, почта. Если пользователь был ранее синхронизирован в диспетчере и после этого его атрибуты обновились на стороне AD, то при последующей синхронизации, атрибуты обновятся.

При выборе вкладки Соответствия в рабочей области отображается список созданных соответствий и их статусы.

Раздел Cоответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. Каждому пользователю, который будет успешно авторизоваться, автоматически будут назначены роли (или группы), указанные в настройках соответствия.

Каждое соответствие сопоставляет локальную группу пользователей с группой из MS AD. При этом изменение состава группы в MS AD оперативно отражается в интерфейсе программы.

В окне управления соответствиями доступны следующие операции:

  1. Существует возможность добавить новое соответствие, а также более подробного просмотреть или изменить данные уже существующего соответствия.

    Добавление нового соответствия производится с помощью кнопки Добавить соответствия. В открывшемся диалоговом окне необходимо заполнить следующие поля:

    • название соответствий (редактируемый параметр);
    • тип атрибута (объекта) службы каталогов (множественный выбор из раскрывающегося списка). Может принимать значения: USER, OU, GROUP;
    • имя локальной группы (множественный выбор из раскрывающегося списка);
    • приоритет (редактируемый параметр);
    • значение атрибутов (имя объекта AD) службы каталогов (раскрывающийся список, предлагающий добавить свой атрибут или выбрать режим отсутствия атрибутов);
    • описание (редактируемый параметр).

    После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданного соответствия и его статус появится в списке имеющихся соответствий.

    Примечания

    1. В качестве значения атрибута службы каталогов необходимо указать доменное имя пользователя, группы или OU, в зависимости от выбранного атрибута (типа объекта).
    2. Приоритет соответствия влияет на порядок проверки соответствий, если OU-пользователь или группа попадает под несколько правил.
  2. Для изменения или просмотра уже существующего соответствия необходимо нажать на его название, после чего открывается окно редактирования, в котором существует возможность внести изменения и применить их, нажав кнопку Редактировать. Удаление соответствия осуществляется при нажатии на кнопку Удалить.

  3. При выборе вкладки Группы в рабочей области отобразится список загруженных из AD групп пользователей. Существует возможность загрузить из AD группу пользователей. Добавление группы производится с помощью кнопки Добавить группу.

    После добавления во вкладке Группы появится группа, загруженная из AD, в составе которой все пользователи этой группы в AD. Синхронизация новых пользователей в составе группы происходит в ручном режиме в свойствах группы. Управление ролями такой группы производится, как и локальными группами, в подразделе Группы раздела Настройки основного меню программы.

    Примечание

    Вкладка Группы недоступна для типа OpenLDAP.

    Причины невыполнения синхронизации пользователей из групп AD

    1. Имя пользователя начинается не с латинской буквы.
    2. В имени пользователя присутствуют русские буквы или символы, кроме цифр и знаков ., -, _, +.
    3. Пароль пользователя имеет длину менее 8 символов.

Хранение паролей доступа к внешней системе

Для хранения данных сервисных учетных записей (Active Directory, SpaceVM, AD FS) диспетчер использует симметричное шифрование по методу Ферне (алгоритм AES) с использованием дополнительного 32-байтного уникального (для каждой установки, но переносимого при обновлении) ключа. Сам ключ шифрования находится в перечне защищенных настроек, также зашифрованных уникальным ключем-идентификатором установки.