Службы каталогов
В данном разделе производится настройка интеграции с MS AD сервером по Lightweight Directory Access Protocol (LDAP). Данная интеграция необходима для возможности использования авторизации пользователей из AD без создания пользователя в системе управления.
При выборе раздела Безопасность - Службы каталогов в рабочей области окна интерфейса содержится список названий служб. Также доступны следующие операции:
- обновление информации;
- добавление службы каталогов;
- настройки AD FS.
Примечание
Допускается добавление только одной службы каталогов.
Для добавления службы каталогов необходимо нажать кнопку Добавить службу каталогов и в открывшемся диалоговом окне заполнить:
- название службы каталогов;
- NetBIOS имя домена (записывается в формате domain);
- полное имя домена (записывается в формате domain.local);
- тип подключения;
- URL (записывается в формате ldap(s)://IP или ldap(s)://URL). Допустимые символы
a-z
,A-Z
,0-9
,.
,-
,_
,+
; - тип службы (выбор из раскрывающегося списка);
- имя пользователя (учетная запись в MS AD, с использованием которой будет выполняться синхронизация);
- пароль пользователя;
- описание.
После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить.
Примечание
Пользователь Windows AD должен иметь права (в AD) для проверки авторизации других пользователей. Такие права имеют администраторы домена AD и администраторы более высокого уровня. При применении на предприятии политик безопасности, не допускающих использование удаленной авторизации пользователей с высоким уровнем доступа, необходимо обратиться к документации по управлению Windows AD для разрешения пользователю сетевой проверки авторизации.
Для изменения или просмотра сведений о службе каталогов необходимо нажать на ее название, после чего в рабочей области отобразится название выбранной службы и информация по ней, разграниченная по следующим вкладкам:
- информация;
- соответствия;
- группы.
При выборе вкладки Информация в рабочей области отображаются следующие сведения о службе каталогов:
- название (редактируемый параметр);
- NetBIOS имя домена (редактируемый параметр);
- полное имя домена (редактируемый параметр);
- адрес службы каталогов (URL) (редактируемый параметр);
- тип службы;
- описание (редактируемый параметр);
- имя пользователя (редактируемый параметр);
- пароль (редактируемый параметр).
В окне управления службой каталогов доступны следующие операции:
- обновление информации;
- удаление службы каталогов. При нажатии на кнопку Удалить в открывшемся диалоговом окне необходимо подтвердить операцию, нажав кнопку Удалить;
- проверка соединения. При нажатии на кнопку Проверка соединения осуществляется проверка соединения со службой каталогов. При успешном соединении в области отображения кнопки появляется "галочка" и надпись Успешно, выделенная зеленым цветом. При отсутствии соединения в области отображения кнопки появляется "крестик" и надпись Нет соединения, выделенная красным цветом.
- конфигурация SSO;
- для типа OpenLDAP синхронизация пользователей. При нажатии на кнопку Синхронизировать пользователей осуществляется проверка соединения со службой каталогов и синхронизация всех доступных пользователей. При успешной синхронизации в области отображения кнопки появляется "галочка" и надпись Синхронизировано, выделенная зеленым цветом. В противном случае в области отображения кнопки появляется "крестик" и надпись Не синхронизировано, выделенная красным цветом.
Примечание
Синхронизация пользователей для OpenLDAP возможна только в случае, если OU на вашем сервере имеет имя people.
Примечание
При синхронизации пользователей из AD переносятся атрибуты: имя, фамилия, почта. Если пользователь был ранее синхронизирован в диспетчере и после этого его атрибуты обновились на стороне AD, то при последующей синхронизации, атрибуты обновятся.
При выборе вкладки Соответствия в рабочей области отображается список созданных соответствий и их статусы.
Раздел Cоответствия предназначен для сопоставления системных ролей с атрибутами пользователей MS AD при входе в систему с использованием внешней службы авторизации. Каждому пользователю, который будет успешно авторизоваться, автоматически будут назначены роли (или группы), указанные в настройках соответствия.
Каждое соответствие сопоставляет локальную группу пользователей с группой из MS AD. При этом изменение состава группы в MS AD оперативно отражается в интерфейсе программы.
В окне управления соответствиями доступны следующие операции:
-
Существует возможность добавить новое соответствие, а также более подробного просмотреть или изменить данные уже существующего соответствия.
Добавление нового соответствия производится с помощью кнопки Добавить соответствия. В открывшемся диалоговом окне необходимо заполнить следующие поля:
- название соответствий (редактируемый параметр);
- тип атрибута (объекта) службы каталогов (множественный выбор из раскрывающегося списка). Может принимать значения: USER, OU, GROUP;
- имя локальной группы (множественный выбор из раскрывающегося списка);
- приоритет (редактируемый параметр);
- значение атрибутов (имя объекта AD) службы каталогов (раскрывающийся список, предлагающий добавить свой атрибут или выбрать режим отсутствия атрибутов);
- описание (редактируемый параметр).
После заполнения полей необходимо подтвердить операцию, нажав кнопку Добавить. Название вновь созданного соответствия и его статус появится в списке имеющихся соответствий.
Примечания
- В качестве значения атрибута службы каталогов необходимо указать доменное имя пользователя, группы или OU, в зависимости от выбранного атрибута (типа объекта).
- Приоритет соответствия влияет на порядок проверки соответствий, если OU-пользователь или группа попадает под несколько правил.
-
Для изменения или просмотра уже существующего соответствия необходимо нажать на его название, после чего открывается окно редактирования, в котором существует возможность внести изменения и применить их, нажав кнопку Редактировать. Удаление соответствия осуществляется при нажатии на кнопку Удалить.
-
При выборе вкладки Группы в рабочей области отобразится список загруженных из AD групп пользователей. Существует возможность загрузить из AD группу пользователей. Добавление группы производится с помощью кнопки Добавить группу.
После добавления во вкладке Группы появится группа, загруженная из AD, в составе которой все пользователи этой группы в AD. Синхронизация новых пользователей в составе группы происходит в ручном режиме в свойствах группы. Управление ролями такой группы производится, как и локальными группами, в подразделе Группы раздела Настройки основного меню программы.
Примечание
Вкладка Группы недоступна для типа OpenLDAP.
Причины невыполнения синхронизации пользователей из групп AD
- Имя пользователя начинается не с латинской буквы.
- В имени пользователя присутствуют русские буквы или символы, кроме цифр и знаков
.
,-
,_
,+
. - Пароль пользователя имеет длину менее 8 символов.
Хранение паролей доступа к внешней системе
Для хранения данных сервисных учетных записей (Active Directory, SpaceVM, AD FS) диспетчер использует симметричное шифрование по методу Ферне (алгоритм AES) с использованием дополнительного 32-байтного уникального (для каждой установки, но переносимого при обновлении) ключа. Сам ключ шифрования находится в перечне защищенных настроек, также зашифрованных уникальным ключем-идентификатором установки.