Перейти к содержанию

Службы каталогов

Общие сведения

Защищенные пользователи

Вход пользователей-членов группы Защищенные пользователи ("Protected users") по протоколу LDAP заблокирован, т.к. текущая реализация использует NTLM. Более подробно можно ознакомиться по ссылке.

В данном разделе производится настройка интеграции с сервером службы каталогов по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из службы каталогов без создания пользователя в системе управления.

При выборе раздела Безопасность - Службы каталогов в рабочей области окна интерфейса содержится список названий служб. Также доступны следующие операции:

  • Обновление информации.
  • Добавление службы каталогов.
  • Настройки AD FS.

Примечание

Допускается добавление только одной службы каталогов. Если служба уже добавлена, кнопка Добавить службу каталогов не будет отображаться в Web-интерфейсе.

Добавление службы каталогов

Для добавления службы каталогов необходимо нажать кнопку Добавить службу каталогов и в открывшемся диалоговом окне заполнить:

  • Название службы каталогов.
  • NetBIOS имя домена (записывается в формате domain).
  • Полное имя домена (записывается в формате domain.local).
  • Тип подключения.
  • URL (записывается в формате ldap(s)://IP или ldap(s)://URL). Допустимые символы a-z,A-Z,0-9,.,-,_,+.
  • Тип службы (выбор из раскрывающегося списка).
  • Имя пользователя (учетная запись в службе каталогов, с использованием которой будет выполняться синхронизация).
  • Пароль пользователя.
  • Описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить.

Примечание

Пользователь Windows AD должен иметь права (в AD) для проверки авторизации других пользователей. Такие права имеют администраторы домена AD и администраторы более высокого уровня. При применении на предприятии политик безопасности, не допускающих использование удаленной авторизации пользователей с высоким уровнем доступа, необходимо обратиться к документации по управлению Windows AD для разрешения пользователю сетевой проверки авторизации.

Для изменения или просмотра сведений о службе каталогов необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной службы и информация по ней, разграниченная по следующим вкладкам:

  • Информация.
  • Соответствия.
  • Группы.

Информация

При выборе раздела Информация в рабочей области отображаются следующие сведения о службе каталогов:

  • Название (редактируемый параметр).
  • NetBIOS имя домена (редактируемый параметр).
  • Полное имя домена (редактируемый параметр).
  • Адрес службы каталогов (URL) (редактируемый параметр).
  • Тип службы.
  • Описание (редактируемый параметр).
  • Имя пользователя (редактируемый параметр).
  • Пароль (редактируемый параметр).

В окне управления службой каталогов доступны следующие операции:

  • Обновление информации.
  • Удаление службы каталогов. При нажатии на кнопку Удалить в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить.
  • Проверка соединения. При нажатии на кнопку Проверка соединения осуществляется проверка соединения со службой каталогов. При успешном соединении в области отображения кнопки появляется «галочка» и надпись Успешно, выделенная зеленым цветом. При отсутствии соединения в области отображения кнопки появляется «крестик» и надпись Нет соединения, выделенная красным цветом.
  • Для типа OpenLDAP синхронизация пользователей. При нажатии на кнопку Синхронизировать пользователей осуществляется проверка соединения со службой каталогов и синхронизация всех доступных пользователей. При успешной синхронизации в области отображения кнопки появляется «галочка» и надпись Синхронизировано, выделенная зеленым цветом. В противном случае в области отображения кнопки появляется «крестик» и надпись Не синхронизировано, выделенная красным цветом.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Примечание

При синхронизации пользователей из службы каталогов переносятся атрибуты: имя, фамилия, почта. Если пользователь был ранее синхронизирован в диспетчере и после этого его атрибуты обновились на стороне службы каталогов, то при последующей синхронизации атрибуты обновятся.

Соответствия

Примечание

Использование соответствий возможно только для MS AD.

При выборе раздела Соответствия в рабочей области отображается список созданных соответствий и их статусы.

Cоответствия предназначены для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. Каждому пользователю, который будет успешно авторизоваться, автоматически будут назначены роли (или группы), указанные в настройках соответствия.

Каждое соответствие сопоставляет локальную группу пользователей с группой из MS AD. При этом изменение состава группы в MS AD оперативно отражается в интерфейсе программы.

В окне управления соответствиями доступны следующие операции:

  1. Существует возможность добавить новое соответствие, а также более подробно просмотреть или изменить данные уже существующего соответствия.

    Добавление нового соответствия производится с помощью кнопки
    Добавить соответствия. В открывшемся диалоговом окне необходимо заполнить следующие поля:

    • Название соответствий (редактируемый параметр).
    • Тип атрибута (объекта) службы каталогов (множественный выбор из раскрывающегося списка). Может принимать значения: USER, OU, GROUP.
    • Имя локальной группы (множественный выбор из раскрывающегося списка).
    • Приоритет (редактируемый параметр).
    • Значение атрибутов (имя объекта AD) службы каталогов (раскрывающийся список, предлагающий добавить свой атрибут или выбрать режим отсутствия атрибутов).
    • Описание (редактируемый параметр).

    После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданного соответствия и его статус появится в списке имеющихся соответствий.

    Примечания

    1. В качестве значения атрибута службы каталогов необходимо указать доменное имя пользователя, группы или OU, в зависимости от выбранного атрибута (типа объекта).
    2. Приоритет соответствия влияет на порядок проверки соответствий, если OU-пользователь или группа попадает под несколько правил.

  2. Для изменения или просмотра уже существующего соответствия необходимо нажать на его название, после чего открывается окно редактирования, в котором существует возможность внести изменения и применить их, нажав кнопку Редактировать. Удаление соответствия осуществляется при нажатии на кнопку Удалить.

Группы

При выборе раздела Группы в рабочей области отобразится список загруженных из службы каталогов групп пользователей. Существует возможность загрузить из службы каталогов группу пользователей. Добавление группы производится с помощью кнопки Добавить группу.

После добавления в разделе Группы появится группа, загруженная из службы каталогов, в составе которой все пользователи этой группы в службе каталогов. Синхронизация новых пользователей в составе группы происходит в ручном режиме в свойствах группы. Управление ролями такой группы производится, как и локальными группами, в разделе Настройки - Группы основного меню программы.

Примечание

Раздел Группы недоступен для типа OpenLDAP.

Причины невыполнения синхронизации пользователей из групп службы каталогов

  1. Имя пользователя начинается не с латинской буквы.
  2. В имени пользователя присутствуют русские буквы или символы, кроме цифр и знаков ., -, _, +.
  3. Пароль пользователя имеет длину менее 8 символов.

Хранение паролей доступа к внешней системе

Для хранения данных сервисных учетных записей (Active Directory, SpaceVM, AD FS) диспетчер использует симметричное шифрование по методу Ферне (алгоритм AES) с использованием дополнительного 32-байтного уникального (для каждой установки, но переносимого при обновлении) ключа. Сам ключ шифрования находится в перечне защищенных настроек, также зашифрованных уникальным ключем-идентификатором установки.

Вход по сертификатам

При выборе раздела Сертификаты пользователю предоставляются следующие возможности:

  • Обновление информации.

  • Добавление/удаление сертификата.

  • Редактирование параметров.

Вход по сертификату рассчитан на пользователя, подключенного по протоколу GLINT.

Полная информация по сертификатам приведена в разделе Сертификаты.