Администрирование
Настройки LDAP

Добавление сервера

14мин
имя сервера и основной хост в поле имя сервера вписать имя, под которым ldap сервер будет отображаться в пассворке в разделе основной хост прописать адрес ldap сервера необходимо указать полный адрес, включая протокол и порт пример ldap\ //192 168 0 1 389 если существует резервный ldap сервер, его адрес также можно указать в настройках пассворка в случае выхода из строя основного ldap сервера пассворк автоматически сделает резервный сервер основным и будет направлять на него все dn запросы до решения проблем на основном ldap сервере если используется защищенный протокол ldaps , то вместо ip адреса следует указать cn (common name) выпущенного сертификата пример ldaps\ //dc01 passwork local 636 подробнее о пример настройки ldaps docid\ on0gqmed7igcjequomisf код сервера если необходимо указать несколько ldap серверов, необходимо указать код сервера для каждого из них код сервера — это уникальный буквенно цифровой код, который станет частью логина пользователя пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот ldap сервер, код которого был указан в логине можно оставить это поле пустым, если используется только один ldap сервер и пользователи без кода будут использовать этот сервер для авторизации например, если код сервера dc1 , то логин пользователя в пассворке будет user\@dc1 при авторизации в пассворке пользователь укажет логин user\@dc1 , пассворк выделит код сервера dc1 , найдет его в базе и будет подключаться к этому ldap серверу если пользователь укажет при авторизации логин без @ , например, user , то пассворк будет искать ldap сервер без кода и пытаться к нему подключиться пример логин код сервера логин в пассворке user нет user user passwork local user\@passwork local user passwork user\@passwork сервисная учетная запись укажите логин и пароль сервисной учетной записи , у которой есть права для работы с пользователями пассворк хранит эти данные в зашифрованном виде сохраненный пароль можно изменить, но нельзя просмотреть select the attribute name for the login from the list если ldap сервер использует windows, выбрать samaccountname если ldap сервер работает на ос семейства linux, выбрать uid если ldap сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, нужно прописать имя атрибута вручную проверить корректность введенных данных можно, нажав протестировать авторизация пассворк позволяет настроить авторизацию пользователей с использованием сервисной учетной записи сервисная учетная запись пассворк авторизуется с помощью сервисной учетной записи, затем выполняет поиск пользователя по логину и пытается авторизоваться, используя логин и пароль авторизация через сервисную учетную запись делится на следующие этапы на странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль сервер пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в ldap и получить его dn сервер пассворка отправляет bind запрос на ldap сервер с найденным dn пользователя и его паролем ldap сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных если введенные учетные данные верны и соответствуют данным на ldap сервере, то ldap сервер возвращает подтверждение об успешной аутентификации на сервер пассворка сервер пассворка получает подтверждение об успешной аутентификации от ldap сервера и разрешает пользователю доступ к системе сопоставление атрибутов пользователя чтобы использовать атрибуты ldap в качестве электронной почты пользователя и полного имени в пассворке, укажите названия этих атрибутов имейл пользователя ldap атрибут по умолчанию — mail пример mail ivan petrov\@example com если в ldap используется другой атрибут для имейл (например, userprincipalname ), то необходимо его прописать полное имя пользователя полное имя может храниться в разных атрибутах, в зависимости от настроек ldap сервера displayname nm cn commonname name пример displayname иван петров если ldap не использует displayname , можно указать другой подходящий атрибут из списка или кастомный группы пользователя атрибут memberof содержит список групп, в которых состоит пользователь это ключевой элемент для контроля доступа на основе групп; назначение групп при сопоставлении; ограничение входа в пассворк по группам пример memberof cn=admins,ou=groups,dc=example,dc=com memberof cn=it,ou=departments,dc=example,dc=com в большинстве конфигураций параметр memberof подходит по умолчанию изменение этого значения требуется только в случае, если ldap схема использует другой атрибут перед изменением рекомендуется убедиться в наличии такого атрибута и его корректной работе