Перейти к содержанию

Службы каталогов

Информация

В разделе Безопасность - Службы каталогов основного меню производится настройка интеграции с сервером службы каталогов по Lightweight Directory Access Protocol (LDAP). Данная интеграция позволяет авторизовать в системе управления SpaceVM пользователей из Active Directory (далее MS AD), FreeIPA, OpenLdap, ALD, RADIUS. После успешной аутентификации пользователь в системе управления SpaceVM будет создан автоматически. Пароль пользователя хранится только на сервере службы каталогов, т.е. такой пользователь и в дальнейшем проходит аутентификацию только через сервер LDAP.

Создание

Создание записи службы каталогов производится с помощью кнопки Добавить. В открывшемся окне необходимо заполнить следующие поля:

  • название службы каталогов;

  • имя домена (используется LDAP серверами);

  • адрес службы каталогов URL (LDAP или LDAPS);

  • тип службы каталогов (выбор из раскрывающегося списка). Может принимать значения: Active Directory, FreeIPA, OpenLDAP, ALD, RADIUS;

  • секрет (используется RADIUS сервером);

  • пользователь (имя администратора);

  • пароль администратора;

  • возможность проверки соединения;

  • роль по умолчанию;

  • описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

В окне службы каталогов существует возможность поиска каталога по имени. Для этого в верхней строчке окна в поле Найти image необходимо ввести название искомого каталога и нажать кнопку image

После первоначальной настройки службы AD, FreeIPA, OpenLdap, ALD, RADIUS авторизуют пользователей как внешнее хранилище учётных записей LDAP. Предоставляется возможность сопоставлять роли пользователей AD, FreeIPA, OpenLdap, ALD, RADIUS с уровнем доступа в систему управления (администратор или оператор). Для авторизации пользователем домена Windows, Linux в окне ввода имени пользователя и пароля необходимо перевести переключатель авторизации в LDAP.

Интеграцию с MS AD можно расширить, применив настройки Kerberos (keytabs) и указав учётную запись пользователя, авторизованного для проверки учетных данных с контроллера системы управления. При правильном применении настроек появится возможность использования функционала SSO при авторизации пользователей домена MS AD.

Для MS AD также поддерживается работа со связными (доверенными) серверами.

В системе управления реализован автоматический повтор аутентификации при получении соответствующего ответа во время сильной загрузки сервера службы каталогов.

При нажатии на название службы каталогов в открывшемся окне содержатся сведения о ней, разделенные на следующие группы:

  • информация;

  • соответствия;

  • keytabs;

  • события.

SSO

Также существует возможность обновления информации, изменения конфигурации SSO и удаления службы.

При нажатии кнопки Конфигурация SSO в открывшемся окне необходимо заполнить следующие поля:

  • включить или выключить режим SSO;

  • субдомен SSO;

  • url сервера управления AD;

  • список всех url Key Distributed Centers.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Сохранить.

Информация

Во вкладке Информация содержатся следующие сведения:

  • название службы (редактируемый параметр);

  • описание службы (редактируемый параметр);

  • имя домена (редактируемый параметр);

  • тип службы (редактируемый параметр);

  • URL службы (редактируемый параметр, записывается в формате ldap://xxx.xxx.xxx.xxx) (редактируемый параметр);

  • пользователь (редактируемый параметр);

  • пароль (редактируемый параметр);

  • роль по умолчанию (редактируемый параметр, по умолчанию - Выключено);

  • дата и время создания службы;

  • дата изменения;

  • проверка соединения.

Соответствия

Для авторизации пользователей система SpaceVM использует роли. На сервере LDAP может быть отличная организация пользователей - организационные единицы, группы и тд. С помощью Соответствий система понимает какую роль получит пользователь, прошедший LDAP аутентификацию. При отсутствии подходящих Соответствий пользователь получит роль по умолчанию, если она выбрана (без роли вход невозможен). Может быть применено только одно Соответствие с наивысшим приоритетом из подходящих. Приоритет соответствия является суммой приоритетов его ролей.

Пример

Учетная запись ivanov.i на сервере LDAP состоит в группах Инженер и Офис. В системе SpaceVM созданы два соответствия. Соответствие 1 - члены группы Инженер получают роль Администратор, приоритет 1000. Соответствие 2 - члены группы Офис получают роль Оператор ВМ, приоритет 100. После успешной аутентификации пользователь ivanov.i получит роль Администратор, так как приоритет Соответствия 1 выше.

Во вкладке Соответствия содержится таблица соответствий, возможность обновления, добавления соответствия, а также его удаления.

Для добавления соответствия необходимо нажать кнопку Добавить соответствие. Необходимо заполнить следующие поля:

  • название соответствия;

  • роли пользователей (выбор из раскрывающегося списка);

  • описание соответствия;

  • объекты LDAP сервера (для сервера RADIUS только ручной ввод имен пользователей).

Объектами LDAP могут быть любые сущности сервера (OU, CN и тд.), которые фигурируют в DN пользователя. Могут быть выбраны группы LDAP в которых состоит пользователь.

Выбрав необходимые сущности сервера службы каталогов, необходимо подтвердить операцию, нажав кнопку OK.

В качестве примера: Допустим DN пользователя AD120, который проходит аутентификацию, uid=ad120,ou=other,ou=users,dc=bazalt,dc=team. Так же этот пользователь состоит в группе Администратор с DN cn=administrator,ou=groups,dc=bazalt,dc=team. Необходимо создать соответствие, при котором пользователь AD120 получит роль Администратор в SpaceVM.

Если нужно, что бы только этот пользователь получал роль Администратор в SpaceVM необходимо сделать соответствие на весь DN пользователя (совпадение с другими пользователями сервера LDAP исключено).

Что бы пользователь AD120 и другие члены группы Администратор получали роль Администратор нужно выбрать DN группы.

Что бы пользователь AD120 и остальные пользователи из организационной единицы ou=other,ou=users,dc=bazalt,dc=team получали роль Администратор, нужно выбрать DN организационной единицы.

Так же допустимы любые комбинации объектов LDAP при необходимости.

Выбор подходящих DN происходит в диалоговом окне Изменение соответствия, которое открывается по нажатию на кнопку Изменить объекты LDAP.

В диалоговом окне Изменение соответствия содержится:

  • таблица объектов LDAP сервера;

  • Путь (на изображении выше это dc=bazalt,dc=team).

В первом столбце таблицы указано название объекта, во втором его классы. Для отображения содержимого любого объекта в таблице необходимо "кликнуть" по названию. Путь отображает текущее положение. Для возврата в предыдущую директорию "стрелка влево" наверху таблицы. Выбор объектов производится "галочками" и нажатием кнопки ОК.

Keytabs

Во вкладке Keytabs существует возможность обновления, а также загрузки файлов. При нажатии кнопки Загрузить будет открыто стандартное окно загрузки файлов.

События

Во вкладке События присутствуют все события, зарегистрированные в системе, возникающие при работе служб каталогов с возможностью их сортировки по признакам - По всем типам, Ошибки, Предупреждения, Информационные.