Добавление сервера
В поле Название сервера впишите имя, под которым LDAP-сервер будет отображаться в Пассворке.
В разделе Основной хост укажите адрес LDAP-сервера. Необходимо указать полный адрес, включая протокол и порт.
Пример:
Если существует резервный LDAP-сервер, его хост также можно указать в настройках Пассворка. В случае выхода из строя основного LDAP-сервера Пассворк автоматически сделает резервный сервер основным и будет направлять на него все запросы DN до решения проблем на основном LDAP-сервере.
Если вы используете защищенный протокол LDAPS, то вместо IP-адреса следует указать CN выпущенного сертификата для Active Directory:
Пример:
Подробнее о настройке и использовании LDAPS можно прочитать в разделе Пример настройки LDAPS подключения
Если вам нужно указать несколько LDAP-серверов, необходимо указать код сервера для каждого из них.
Код сервера - это уникальный буквенно-цифровой код, который станет частью логина пользователя. Пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот LDAP-сервер, код которого был указан в логине.
Вы можете оставить это поле пустым, если у вас только один LDAP-сервер и пользователи без кода будут использовать этот сервер для авторизации.
Например, если код сервера dc1, то логин пользователя в Пассворке будет user@dc1. При авторизации в Пассворке пользователь укажет логин user@dc1, Пассворк выделит код сервера dc1, найдет его в базе и будет подключаться к этому LDAP серверу.
Если пользователь укажет при авторизации логин без @, например, user, то Пассворк будет искать LDAP сервер без кода и пытаться к нему подключиться.
Пример:
Логин | Код сервера | Логин в Пассворк |
|---|---|---|
user | нет | user |
user | passwork.local | |
user | passwork | user@passwork |
Укажите логин и пароль Сервисной учетной записи, у которой есть права для работы с пользователями в Active Directory.
Пассворк хранит эти данные в зашифрованном виде: сохраненный пароль можно изменить, но нельзя просмотреть.
Выберите Имя атрибута для логина в LDAP из списка:
- Если ваш LDAP-сервер использует операционную систему Windows, выберите samaccountname
- Если ваш LDAP-сервер работает на операционной системе семейства Linux, выберите uid
Если ваш LDAP-сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, укажите имя нужного атрибута вручную.
Чтобы проверить корректность введенных данных, щелкните кнопку Протестировать
Пассворк позволяет настроить авторизацию пользователей по маске, либо с использованием сервисной учетной записи.
Пассворк авторизуется с помощью сервисной учетной записи, затем выполнит поиск пользователя по логину и попытается авторизоваться, используя логин и пароль.
Авторизация через сервисную учетную запись проходит следующие этапы:
- На странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль.
- Сервер Пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в LDAP и получить его DN.
- Сервер Пассворка отправляет запрос (bind) на LDAP-сервер с найденным DN пользователя и его паролем.
- LDAP-сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных.
- Если введенные учетные данные верны и соответствуют данным на LDAP-сервере, то LDAP-сервер возвращает подтверждение об успешной аутентификации на сервер Пассворка.
- Сервер Пассворка получает подтверждение об успешной аутентификации от LDAP-сервера и разрешает пользователю доступ к системе.
Сервисная учетная запись — это наиболее надежный и предпочтительный инструмент авторизации
Маска превращает логин пользователя Пассворка в строку DN (Distinguished Name), которая используется для авторизации в LDAP и AD. DN зависит от операционной системы и настроек сервера.
Пример:
логин user + маска @my-domain.local → DN [email protected] логин user + маска <login>→ DN user логин user + маска MyDomain\<login> → DN MyDomain\user логин user + маска uid=<login>,ou=Users,dc=example,dc=com → DN uid=user,ou=Users,dc=example,dc=com
Вид маски DN зависит от операционной системы и настроек сервера.
Пример:
Для Active Directory на Windows обычно подходит одна из таких масок:
<login>
Имя-вашего-домена/<login>
<login>@имя-вашего-домена
<login>@имя-вашего-домена.local Для LDAP на Linux:
uid=<login>,ou=Users,dc=example,dc=com
Чтобы использовать атрибуты LDAP в качестве электронной почты пользователя и полного имени в Пассворке, укажите названия этих атрибутов.
Обычно имя пользователя хранится в одном из следующих атрибутов:
displayname
nm
cn
commonname
name
Email пользователя по умолчанию хранится в атрибуте mail
