Перейти к содержанию

Службы каталогов

В системе реализована поддержка авторизации пользователей из Windows AD и FreeIPA посредством LDAP.

Для регистрации внешних пользователей необходимо в разделе Безопасность - Службы каталогов:

  • добавить подключение к внешнему LDAP-серверу;

  • для каждого LDAP-сервера настроить сопоставление пользователей (групп пользователей) с ролями системы управления кластером.

Если никакого сопоставления групп или пользователей AD не производилось, то все LDAP-пользователи могут зарегистрироваться в системе и иметь роль оператор ВМ.

В отличие от встроенной базы данных пользователей для Windows AD допускается назначать пользователю или группе роль суперпользователя.

В системе реализована поддержка технологии Single Sigh-On (SSO). Для её подключения необходимо:

  • на контроллере Active Directory (AD) создать пользователя с соответствующими правами (администратора домена или разрешить набор прав для проверки пользователей через сетевой протокол безопасной идентификации/аутентификации Kerberos);

  • зарегистрировать в Windows DNS доменное имя для контроллера(ов) ****;

  • сформировать на контроллере домена Kerberos (keytabs) файл, по которому контроллер SpaceVM будет авторизовываться в AD.

Kerberos (кeytabs) файл загружается для целевой службы каталогов на вкладке Keytabs.

В окне, открывающемся по кнопке Конфигурация SSO, вносятся данные, с которым будет проходить авторизация:

  • параметры пользователя AD (имя пользователя и пароль);

  • доменное имя контроллера SpaceVM (cубдомен).

В данном окне имя пользователя и DNS-имя контроллера SpaceVM вносится без указания имени домена AD.

Если в качестве основного DNS-сервера для SpaceVM не установлен DNS Windows AD, то поля url сервера управления AD и список всех url Key Distributed Centers можно указывать в виде IP-адреса контроллера Windows AD.