Релиз-кандидат
...
Администрирование
Настройки LDAP

Добавление сервера

14min

Имя сервера и Основной хост

Document image


В поле Имя сервера вписать имя, под которым LDAP-сервер будет отображаться в Пассворке.

В разделе Основной хост прописать адрес LDAP-сервера. Необходимо указать полный адрес, включая протокол и порт.

Пример:

ldap://192.168.0.1:389

Если существует резервный LDAP-сервер, его адрес также можно указать в настройках Пассворка. В случае выхода из строя основного LDAP-сервера Пассворк автоматически сделает резервный сервер основным и будет направлять на него все DN-запросы до решения проблем на основном LDAP-сервере.

Если используется защищенный протокол LDAPS, то вместо IP-адреса следует указать CN (Common Name) выпущенного сертификата:

Пример:

ldaps://dc01.passwork.local:636


Код сервера

Если необходимо указать несколько LDAP-серверов, необходимо указать код сервера для каждого из них.

Код сервера — это уникальный буквенно-цифровой код, который станет частью логина пользователя. Пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот LDAP-сервер, код которого был указан в логине.

Можно оставить это поле пустым, если используется только один LDAP-сервер и пользователи без кода будут использовать этот сервер для авторизации.

Например, если код сервера dc1, то логин пользователя в Пассворке будет user@dc1. При авторизации в Пассворке пользователь укажет логин user@dc1, Пассворк выделит код сервера dc1, найдет его в базе и будет подключаться к этому LDAP серверу.

Если пользователь укажет при авторизации логин без @, например, user, то Пассворк будет искать LDAP сервер без кода и пытаться к нему подключиться.

Пример:

Логин

Код сервера

Логин в Пассворке

user

нет

user

user

passwork.local

user

passwork

user@passwork



Сервисная учетная запись

Укажите логин и пароль Сервисной учетной записи, у которой есть права для работы с пользователями.

Пассворк хранит эти данные в зашифрованном виде: сохраненный пароль можно изменить, но нельзя просмотреть.

Select the Attribute Name for the login from the list:

  • Если LDAP-сервер использует Windows, выбрать samaccountname
  • Если LDAP-сервер работает на ОС семейства Linux, выбрать uid

Если LDAP-сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, нужно прописать имя атрибута вручную.

Проверить корректность введенных данных можно, нажав Протестировать



Авторизация

Пассворк позволяет настроить авторизацию пользователей с использованием сервисной учетной записи.

Сервисная учетная запись

Пассворк авторизуется с помощью сервисной учетной записи, затем выполняет поиск пользователя по логину и пытается авторизоваться, используя логин и пароль.

Авторизация через сервисную учетную запись делится на следующие этапы:

  1. На странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль.
  2. Сервер Пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в LDAP и получить его DN.
  3. Сервер Пассворка отправляет bind-запрос на LDAP-сервер с найденным DN пользователя и его паролем.
  4. LDAP-сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных.
  5. Если введенные учетные данные верны и соответствуют данным на LDAP-сервере, то LDAP-сервер возвращает подтверждение об успешной аутентификации на сервер Пассворка.
  6. Сервер Пассворка получает подтверждение об успешной аутентификации от LDAP-сервера и разрешает пользователю доступ к системе.


Сопоставление атрибутов пользователя

Чтобы использовать атрибуты LDAP в качестве электронной почты пользователя и полного имени в Пассворке, укажите названия этих атрибутов.

Имейл пользователя

LDAP атрибут по умолчанию — mail

Пример: mail: [email protected]

Если в LDAP используется другой атрибут для имейл (например, userPrincipalName), то необходимо его прописать.

Полное имя пользователя

Полное имя может храниться в разных атрибутах, в зависимости от настроек LDAP-сервера:

  • displayname
  • nm
  • cn
  • commonname
  • name
Пример: displayName: Иван Петров

Если LDAP не использует displayName, можно указать другой подходящий атрибут из списка или кастомный.

Группы пользователя

Атрибут memberOf содержит список групп, в которых состоит пользователь. Это ключевой элемент для:

  • Контроля доступа на основе групп;
  • Назначение Групп при сопоставлении;
  • Ограничение входа в Пассворк по группам.
Пример: memberOf: CN=Admins,OU=Groups,DC=example,DC=com memberOf: CN=IT,OU=Departments,DC=example,DC=com
Document image


В большинстве конфигураций параметр memberOf подходит по умолчанию. Изменение этого значения требуется только в случае, если LDAP-схема использует другой атрибут. Перед изменением рекомендуется убедиться в наличии такого атрибута и его корректной работе.