Службы каталогов

Информация

В разделе Безопасность - Службы каталогов основного меню производится настройка интеграции с сервером службы каталогов по Lightweight Directory Access Protocol (LDAP). Данная интеграция позволяет авторизовать в системе управления SpaceVM пользователей из Active Directory (далее MS AD), FreeIPA, OpenLdap, ALD, RADIUS. После успешной аутентификации пользователь в системе управления SpaceVM будет создан автоматически. Пароль пользователя хранится только на сервере службы каталогов, т.е. такой пользователь и в дальнейшем проходит аутентификацию только через сервер LDAP.

Создание

Создание записи службы каталогов производится с помощью кнопки Добавить. В открывшемся окне необходимо заполнить следующие поля:

• название службы каталогов;

• имя домена (используется LDAP-серверами);

• адрес службы каталогов URL (LDAP или LDAPS);

• тип службы каталогов (выбор из раскрывающегося списка). Может принимать значения: Active Directory, FreeIPA, OpenLDAP, ALD, RADIUS;

• секрет (используется RADIUS-сервером);

• пользователь (имя администратора);

• пароль администратора;

• возможность проверки соединения;

• роль по умолчанию;

• описание.

После заполнения полей необходимо подтвердить операцию, нажав кнопку ОК.

В окне службы каталогов существует возможность поиска каталога по названию. Для этого в поисковой строке в поле Найти необходимо ввести название искомого каталога и нажать кнопку

После первоначальной настройки службы AD, FreeIPA, OpenLdap, ALD, RADIUS авторизуют пользователей как внешнее хранилище учётных записей LDAP. Предоставляется возможность сопоставлять роли пользователей AD, FreeIPA, OpenLdap, ALD, RADIUS с уровнем доступа в систему управления (администратор или оператор). Для авторизации пользователя в доменах Windows, Linux в окне ввода имени пользователя и пароля необходимо перевести переключатель авторизации в LDAP.

Интеграцию с MS AD можно расширить, применив настройки Kerberos (keytabs) и указав учётную запись пользователя, авторизованного для проверки учетных данных с контроллера системы управления. При правильном применении настроек появится возможность использования функционала SSO при авторизации пользователей домена MS AD.

Для MS AD также поддерживается работа со связными (доверенными) серверами.

В системе управления реализован автоматический повтор аутентификации при получении соответствующего ответа во время высокой загрузки сервера службы каталогов.

При нажатии на название службы каталогов в открывшемся окне содержатся сведения о ней, разделенные на следующие группы:

• информация;

• соответствия;

• keytabs;

• события.

Удаление

Для удаление службы каталогов необходимо открыть службу каталогов, нажать кнопку Удалить и подтвердить действие кнопкой Удалить.

SSO

Также существует возможность обновления информации, изменения конфигурации SSO и удаления службы.

При нажатии кнопки Конфигурация SSO в открывшемся окне необходимо заполнить следующие поля:

• включить или выключить режим SSO;

• субдомен SSO;

• URL сервера управления AD;

• список всех URL Key Distributed Centers.

После заполнения полей необходимо подтвердить операцию, нажав кнопку Сохранить.

Информация

Во вкладке Информация содержатся следующие сведения:

• название службы (редактируемый параметр);

• описание службы (редактируемый параметр);

• имя домена (редактируемый параметр);

• тип службы (редактируемый параметр);

• URL службы (редактируемый параметр, записывается в формате ldap://xxx.xxx.xxx.xxx) (редактируемый параметр);

• пользователь (редактируемый параметр);

• пароль (редактируемый параметр);

• роль по умолчанию (редактируемый параметр, по умолчанию - Выключено);

• дата и время создания службы;

• дата изменения;

• проверка соединения.

Соответствия

Для авторизации пользователей система SpaceVM использует роли. На сервере LDAP может быть отличная организация пользователей - организационные единицы, группы и тд. С помощью Соответствий система понимает какую роль получит пользователь, прошедший LDAP-аутентификацию. При отсутствии подходящих Соответствий пользователь получит роль по умолчанию, если она выбрана (без роли вход невозможен). Может быть применено только одно Соответствие с наивысшим приоритетом из подходящих. Приоритет соответствия является суммой приоритетов его ролей.

Во вкладке Соответствия содержится таблица соответствий. Существует возможность добавления, обновления и удаления соответствий.

Для добавления соответствия необходимо нажать кнопку Добавить соответствие. Необходимо заполнить следующие поля:

• название соответствия;

• роли пользователей (выбор из раскрывающегося списка);

• описание соответствия;

• объекты LDAP-сервера (для сервера RADIUS только ручной ввод имен пользователей).

Объектами LDAP могут быть любые сущности сервера (OU, CN и т.д.), которые фигурируют в DN пользователя. Могут быть выбраны группы LDAP, в которых состоит пользователь.

Выбрав необходимые сущности сервера службы каталогов, необходимо подтвердить операцию, нажав кнопку ОК.

Выбор подходящих DN происходит в диалоговом окне Изменение соответствия, которое открывается при нажатии на кнопку Изменить объекты LDAP. В диалоговом окне Изменение соответствия содержится: - таблица объектов LDAP-сервера; - Путь (в примере выше это dc=bazalt,dc=team). В первом столбце таблицы указано название объекта, во втором его классы. Для отображения содержимого любого объекта в таблице необходимо нажать на его название. Путь отображает текущее положение. Для возврата в предыдущую директорию используется стрелка влево в верхней части таблицы. Для выбора объектов необходимо выделить их и нажать кнопку ОК.

Keytabs

Во вкладке Keytabs существует возможность обновления, а также загрузки файлов. При нажатии кнопки Загрузить будет открыто стандартное окно загрузки файлов.

События

На вкладке События отображаются все события, зарегистрированные в системе, возникающие при работе служб каталогов, с возможностью их сортировки по признакам: По всем типам, Ошибки, Предупреждения, Информационные.