Перейти к содержанию

Расширенная интеграция

Расширенная интеграция позволяет использовать службу каталогов как внешнюю службу авторизации, выполнять предварительную синхронизацию пользователей, заводить ВРС на Windows в домен.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в OS Astra Linux.

Внимание

Функция ввода ВМ в домен FreeIPA и синхронизация пользователей для OpenLDAP носят экспериментальный характер.

Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Безопасность - Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

  • Название.
  • NetBIOS имя домена (записывается в формате domain).
  • Полное имя домена (записывается в формате domain.local).
  • Тип подключения.
  • URL (записывается в формате ldap://xxx.xxx.xxx.xxx).
  • Тип службы (Active Directory, FreeIPA или OpenLDAP).
  • Пользователь (учетная запись в AD, с использованием которой будет выполняться синхронизация, пользователь должен иметь права на чтение атрибутов пользователей и списка групп).
  • Пароль.

image

В результате будет запись в статусе Исправно, если статус другой, то необходимо обратиться к разделу Журнал -> События, где будет указана информация о проблеме.

Внимание

Обратите внимание на поле Пользователь. Для авторизации на AD будет использована учетная запись по паттерну Домен\Пользователь. Если Пароль или Пользователь не указан, попытка подключения будет проигнорирована. Проверить корректность введенных данных можно кнопкой Проверка соединения.

Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При авторизации каждому пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Чтобы пользователь получил возможность входа в панель администратора, группа, в которую он будет включен, должна иметь одну или несколько системных ролей, либо пользователь должен иметь атрибут Администратор.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

  • Выбрать группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
  • Приоритет (вес соответствия при конфликтах соответствий).
  • Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory).
  • Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory).

image

Синхронизация группы позволит одномоментно перенести всех пользователей-членов группы AD в локальную систему.

Примечание

Повторная синхронизация ранее синхронизированной группы исключит из группы отключенных пользователей и добавит новых.

Добавление группы пользователей производится с помощью кнопки Добавить группу в разделе Группы созданной ранее службы каталогов. В появившемся окне необходимо выбрать требуемую группу, в дальнейшем из неё будут синхронизированы все пользователи.

Шаги синхронизации группы MS AD

Процесс синхронизации делится на 2 шага:

  • Получение групп доступных для синхронизации.

    Группы, доступные для синхронизации, формируются из списка всех объектов с категорией ГРУППА, не являющихся критичными системными объектами, за исключением групп ранее синхронизированных на VDI.

    Примечание

    Если список групп пустой, проверьте параметры учетной записи, указанной для службы каталогов.

  • Выбор конкретной группы и получение ее членов.

    Одномоментно можно синхронизировать только одну группу. Это сделано в целях снижения нагрузки на MS AD. Пользователи, доступные для синхронизации, формируются из списка объектов с категорией ПОЛЬЗОВАТЕЛЬ или ПЕРСОНА, классом ПОЛЬЗОВАТЕЛЬ, не имеющие статус ЗАБЛОКИРОВАН и состоящие в выбранной группе.

Фильтры, используемые при построении списка групп MS AD

(&(objectCategory=GROUP)(!(isCriticalSystemObject=TRUE))

Фильтры, используемые при построении списка групп FreeIPA

(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))

Фильтры, используемые при построении списка пользователей MS AD

base_filter = '(&(sAMAccountName=*)'

locked_account_filter = '(!(userAccountControl:1.2.840.113556.1.4.803:=2))'

persons_filter = '(|(objectCategory=USER)(objectCategory=PERSON))(objectClass=USER)'

member_of_filter = '(memberOf={})'.format(groups_cn)

final_filter = ''.join([base_filter, locked_account_filter, persons_filter, member_of_filter, ')'])

Фильтры, используемые при построении списка пользователей FreeIPA

"(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))"

Синхронизация пользователей OpenLDAP

Синхронизация позволит одномоментно перенести всех пользователей AD в локальную систему.

Примечание

Повторная синхронизация исключит отключенных пользователей и добавит новых.

Примечание

Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.

Внимание

Синхронизация пользователей для OpenLDAP носит экспериментальный характер.

Подготовка ВМ

Если в системе существует активная служба каталогов с расширенной интеграцией, а также образ ВМ основан на ОС Windows, существует возможность автоматизации процесса ввода ВМ в домен и включение заведенных компьютеров в группы MS AD.

Примечание

Автоматическая подготовка ВМ требует как настройки диспетчера, так и подготовки эталонного образа, из которого будут создаваться новые ВМ. Более детально процесс рассмотрен в профильном разделе.

Внимание

Функция ввода ВМ в домен FreeIPA носит экспериментальный характер.