Перейти к содержанию

Расширенная интеграция

Расширенная интеграция позволяет использовать службу каталогов как внешнюю службу авторизации, выполнять предварительную синхронизацию пользователей, заводить ВРС на Windows в домен.

Примечание

Пользователю, созданному в процессе интеграции, запрещен вход в ОС Astra Linux.

Внимание

Функция ввода ВМ в домен FreeIPA и синхронизация пользователей для OpenLDAP носят экспериментальный характер.


Добавление службы каталогов

Добавление службы каталогов производится с помощью кнопки Добавить службу каталогов в разделе Безопасность - Службы каталогов.

В открывшемся окне необходимо заполнить следующие поля:

  • Название.
  • NetBIOS имя домена (записывается в формате domain).
  • Полное имя домена (записывается в формате domain.local).
  • Тип подключения.
  • URL (записывается в формате ldap://xxx.xxx.xxx.xxx).
  • Тип службы (Active Directory, FreeIPA, OpenLDAP, ALD Pro).
  • Пользователь (учетная запись в AD, с использованием которой будет выполняться синхронизация, пользователь должен иметь права на чтение атрибутов пользователей и списка групп).
  • Пароль.

    Пример

    image

В результате будет запись в статусе Исправно. Если статус другой, то необходимо обратиться к разделу Журнал - События, где будет указана информация о проблеме.

Внимание

Необходимо обратить внимание на поле Пользователь. Для авторизации в службе каталогов будет использована учетная запись по паттерну Домен/Пользователь. Если Пароль или Пользователь не указан, попытка подключения будет проигнорирована. Проверить корректность введенных данных можно кнопкой Проверка соединения.


Добавление соответствия

Раздел Соответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. При авторизации каждому пользователю автоматически будут назначены Роли/Группы, которые указаны в настройках соответствия.

Примечание

Соответствие проверяется в момент входа пользователя в систему. Если вход выполнен успешно, и правила фильтра атрибутов AD были выполнены, пользователь будет включен в группу, которая была назначена.

Добавление соответствия производится с помощью кнопки Добавить соответствия в разделе Соответствия созданной ранее службы каталогов. В открывшемся окне необходимо заполнить следующие поля:

  • Выбрать группу (локальная группа на диспетчере, в которую будет включен внешний пользователь).
  • Приоритет (вес соответствия при конфликтах соответствий).
  • Тип атрибута службы каталогов (тип атрибута объекта MS Active Directory).
  • Значение атрибута службы каталогов (значение атрибута объекта MS Active Directory).

    Пример

    image


Пример комбинированного использования соответствий и синхронизации

Данный сценарий может использоваться в случаях, когда отсутствует необходимость или возможность полной синхронизации всех групп пользователей.

Например, существует группа SubSubGroup, все участники которой должны иметь роль «пользователь». Некоторые из этих пользователей также входят в группу SubUsers, которая является группой администраторов VDI. В этом случае можно синхронизировать только группу SubSubGroup, а для SubUsers настроить соответствие, которое будет применяться в момент входа пользователя.

Для настройки сценария с частичной синхронизацией и соответствиями необходимо выполнить следующие шаги:

  1. Добавить службу AD, чтобы появилась возможность выполнить первичную синхронизацию пользователей.

    Cлужба AD

    manual_sync_mapping_1.png

  2. Создать локальную группу, в которую необходимо будет автоматически добавлять пользователей (например, ManualSync).

    Локальная группа

    manual_sync_mapping_2.png

  3. Настроить соответствие.

    Настройка соответствия

    manual_sync_mapping_3.png

    В результате все пользователи MS AD, входящие в группу SubUsers, будут автоматически включаться в локальную группу ManualSync при успешном входе в систему.

  4. Выполнить синхронизацию общей группы SubSubGroup и убедиться, что пользователи созданы в системе.

    Список пользователей

    manual_sync_mapping_4.png

  5. Выполнить вход в систему, активировав переключатель LDAP и указав пароль пользователя MS AD. Правило будет работать для всех пользователей участников группы SubUsers.

    Участники группы

    manual_sync_mapping_5.png


Синхронизация группы позволит одномоментно перенести всех пользователей-членов группы AD в локальную систему.

Примечания

Повторная синхронизация ранее синхронизированной группы исключит из группы отключенных пользователей и добавит новых.


При синхронизации групп синхронизируются только пользователи явно закрепленные за группой. Синхронизация вложенных групп и их пользователей не выполняется.


Синхронизация пользователей ALD Pro осуществляется по аналогии с синхронизацией пользователей группы AD.

Добавление группы пользователей производится с помощью кнопки
Добавить группу в разделе Группы созданной ранее службы каталогов. В открывшемся окне необходимо выбрать требуемую группу, в дальнейшем из неё будут синхронизированы все пользователи.

Процесс синхронизации группы MS AD делится на 2 шага:

  • Получение групп доступных для синхронизации.

    Группы, доступные для синхронизации, формируются из списка всех объектов с категорией ГРУППА, не являющихся критичными системными объектами, за исключением групп ранее синхронизированных на VDI.

    Примечание

    Если список групп пустой, проверьте параметры учетной записи, указанной для службы каталогов.

  • Выбор конкретной группы и получение ее членов.

    Одномоментно можно синхронизировать только одну группу. Это сделано в целях снижения нагрузки на MS AD. Пользователи, доступные для синхронизации, формируются из списка объектов с категорией ПОЛЬЗОВАТЕЛЬ или ПЕРСОНА, классом ПОЛЬЗОВАТЕЛЬ, не имеющие статус ЗАБЛОКИРОВАН и состоящие в выбранной группе.

Фильтры, используемые при построении списка групп MS AD

(&(objectCategory=GROUP)(!(isCriticalSystemObject=TRUE))

Фильтры, используемые при построении списка групп FreeIPA

(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))

Фильтры, используемые при построении списка пользователей MS AD

base_filter = '(&(sAMAccountName=*)'

locked_account_filter = '(!(userAccountControl:1.2.840.113556.1.4.803:=2))'

persons_filter = '(|(objectCategory=USER)(objectCategory=PERSON))(objectClass=USER)'

member_of_filter = '(memberOf={})'.format(groups_cn)

final_filter = ''.join([base_filter, locked_account_filter, persons_filter, member_of_filter, ')'])

Фильтры, используемые при построении списка пользователей FreeIPA
"(&(objectclass=posixAccount)(objectclass=person)(!(nsaccountlock=TRUE))"

Синхронизация пользователей OpenLDAP

Синхронизация позволит одномоментно перенести всех пользователей AD в локальную систему.

Примечание

Повторная синхронизация исключит отключенных пользователей и добавит новых.


Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на сервере пользоваьеля имеет имя people.

Внимание

Синхронизация пользователей для OpenLDAP носит экспериментальный характер.


Подготовка ВМ

Если в системе существует активная служба каталогов с расширенной интеграцией, а также образ ВМ основан на ОС Windows, существует возможность автоматизации процесса ввода ВМ в домен и включение заведенных компьютеров в группы MS AD.

Примечание

Автоматическая подготовка ВМ требует как настройки диспетчера, так и подготовки эталонного образа, из которого будут создаваться новые ВМ. Более детально процесс рассмотрен в профильном разделе.

Внимание

Функция ввода ВМ в домен FreeIPA носит экспериментальный характер.