Добавление сервера

название сервера и адрес в поле название сервера впишите имя, под которым ldap сервер будет отображаться в пассворке в разделе основной хост укажите адрес ldap сервера необходимо указать полный адрес, включая протокол и порт пример ldap\ //84 23 52 14 389 если существует резервный ldap сервер, его адрес также можно указать в настройках пассворка в случае выхода из строя основного ldap сервера пассворк автоматически сделает резервный сервер основным и будет направлять на него все dn запросы до решения проблем на основном ldap сервере если вы используете защищенный протокол ldaps , то вместо ip адреса следует указать cn выпущенного сертификата для active directory пример ldaps\ //dc01 passwork local 636 подробнее о настройке и использовании ldaps можно прочитать в разделе пример настройки ldaps docid\ pnliszve0loteeoxnl5bn код сервера если вам нужно указать несколько ldap серверов, необходимо указать код сервера для каждого из них код сервера это уникальный буквенно цифровой код, который станет частью логина пользователя пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот ldap сервер, код которого был указан в логине вы можете оставить это поле пустым, если у вас только один ldap сервер и пользователи без кода будут использовать этот сервер для авторизации например, если код сервера dc1 , то логин пользователя в пассворке будет user\@dc1 при авторизации в пассворке пользователь укажет логин user\@dc1 , пассворк выделит код сервера dc1 , найдет его в базе и будет подключаться к этому ldap серверу если пользователь укажет при авторизации логин без @ , например, user , то пассворк будет искать ldap сервер без кода и пытаться к нему подключиться пример логин код сервера логин в пассворке user нет user user passwork local user\@passwork local user passwork user\@passwork сервисная учетная запись укажите логин и пароль сервисной учетной записи , у которой есть права для работы с пользователями в active directory пассворк хранит эти данные в зашифрованном виде сохраненный пароль можно изменить, но нельзя просмотреть выберите имя атрибута для логина в ldap из списка если ваш ldap сервер использует windows, выберите samaccountname если ваш ldap сервер работает на операционной системе семейства linux, выберите uid если ваш ldap сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, укажите имя нужного атрибута вручную чтобы проверить корректность введенных данных, нажмите протестировать авторизация пассворк позволяет настроить авторизацию пользователей с использованием сервисной учетной записи, либо по маске сервисная учетная запись пассворк авторизуется с помощью сервисной учетной записи, затем выполняетт поиск пользователя по логину и пытается авторизоваться, используя логин и пароль авторизация через сервисную учетную запись делится на следующие этапы на странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль сервер пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в ldap и получить его dn сервер пассворка отправляет bind запрос на ldap сервер с найденным dn пользователя и его паролем ldap сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных если введенные учетные данные верны и соответствуют данным на ldap сервере, то ldap сервер возвращает подтверждение об успешной аутентификации на сервер пассворка сервер пассворка получает подтверждение об успешной аутентификации от ldap сервера и разрешает пользователю доступ к системе сервисная учетная запись — это наиболее надежный и предпочтительный инструмент авторизации маска маска превращает логин пользователя пассворка в строку dn (distinguished name), которая используется для авторизации в ldap и ad dn зависит от операционной системы и настроек сервера пример логин user + маска @my domain local → dn user\@my domain local логин user + маска \<login> → dn user логин user + маска mydomain\\\<login> → dn mydomain\user логин user + маска uid=\<login>,ou=users,dc=example,dc=com → dn uid=user,ou=users,dc=example,dc=com пример для active directory на windows обычно подходит одна из таких масок \<login> имя вашего домена/\<login> \<login>@имя вашего домена \<login>@имя вашего домена local для ldap на linux uid=\<login>,ou=users,dc=example,dc=com сопоставление атрибутов пользователя чтобы использовать атрибуты ldap в качестве электронной почты пользователя и полного имени в пассворке, укажите названия этих атрибутов обычно имя пользователя хранится в одном из следующих атрибутов displayname nm cn commonname name email пользователя по умолчанию хранится в атрибуте mail