Добавление сервера
В поле Имя сервера вписать имя, под которым LDAP-сервер будет отображаться в Пассворке.
В разделе Основной хост прописать адрес LDAP-сервера. Необходимо указать полный адрес, включая протокол и порт.
Пример:
Если существует резервный LDAP-сервер, его адрес также можно указать в настройках Пассворка. В случае выхода из строя основного LDAP-сервера Пассворк автоматически сделает резервный сервер основным и будет направлять на него все DN-запросы до решения проблем на основном LDAP-сервере.
Если используется защищенный протокол LDAPS, то вместо IP-адреса следует указать CN (Common Name) выпущенного сертификата:
Пример:
Подробнее о настройке и использовании LDAPS
Если необходимо указать несколько LDAP-серверов, необходимо указать код сервера для каждого из них.
Код сервера — это уникальный буквенно-цифровой код, который станет частью логина пользователя. Пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот LDAP-сервер, код которого был указан в логине.
Можно оставить это поле пустым, если используется только один LDAP-сервер и пользователи без кода будут использовать этот сервер для авторизации.
Например, если код сервера dc1, то логин пользователя в Пассворке будет user@dc1. При авторизации в Пассворке пользователь укажет логин user@dc1, Пассворк выделит код сервера dc1, найдет его в базе и будет подключаться к этому LDAP серверу.
Если пользователь укажет при авторизации логин без @, например, user, то Пассворк будет искать LDAP сервер без кода и пытаться к нему подключиться.
Пример:
Логин | Код сервера | Логин в Пассворке |
|---|---|---|
user | нет | user |
user | passwork.local | |
user | passwork | user@passwork |
Укажите логин и пароль Сервисной учетной записи, у которой есть права для работы с пользователями.
Пассворк хранит эти данные в зашифрованном виде: сохраненный пароль можно изменить, но нельзя просмотреть.
Select the Attribute Name for the login from the list:
- Если LDAP-сервер использует Windows, выбрать samaccountname
- Если LDAP-сервер работает на ОС семейства Linux, выбрать uid
Если LDAP-сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, нужно прописать имя атрибута вручную.
Проверить корректность введенных данных можно, нажав Протестировать
Пассворк позволяет настроить авторизацию пользователей с использованием сервисной учетной записи.
Пассворк авторизуется с помощью сервисной учетной записи, затем выполняет поиск пользователя по логину и пытается авторизоваться, используя логин и пароль.
Авторизация через сервисную учетную запись делится на следующие этапы:
- На странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль.
- Сервер Пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в LDAP и получить его DN.
- Сервер Пассворка отправляет bind-запрос на LDAP-сервер с найденным DN пользователя и его паролем.
- LDAP-сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных.
- Если введенные учетные данные верны и соответствуют данным на LDAP-сервере, то LDAP-сервер возвращает подтверждение об успешной аутентификации на сервер Пассворка.
- Сервер Пассворка получает подтверждение об успешной аутентификации от LDAP-сервера и разрешает пользователю доступ к системе.
Чтобы использовать атрибуты LDAP в качестве электронной почты пользователя и полного имени в Пассворке, укажите названия этих атрибутов.
LDAP атрибут по умолчанию — mail
Если в LDAP используется другой атрибут для имейл (например, userPrincipalName), то необходимо его прописать.
Полное имя может храниться в разных атрибутах, в зависимости от настроек LDAP-сервера:
- displayname
- nm
- cn
- commonname
- name
Если LDAP не использует displayName, можно указать другой подходящий атрибут из списка или кастомный.
Атрибут memberOf содержит список групп, в которых состоит пользователь. Это ключевой элемент для:
- Контроля доступа на основе групп;
- Назначение Групп при сопоставлении;
- Ограничение входа в Пассворк по группам.
В большинстве конфигураций параметр memberOf подходит по умолчанию. Изменение этого значения требуется только в случае, если LDAP-схема использует другой атрибут. Перед изменением рекомендуется убедиться в наличии такого атрибута и его корректной работе.
