Администрирование
Настройки LDAP

Добавление сервера

12min

Название сервера и адрес

Document image


В поле Название сервера впишите имя, под которым LDAP-сервер будет отображаться в Пассворке.

В разделе Основной хост укажите адрес LDAP-сервера. Необходимо указать полный адрес, включая протокол и порт.

Пример:

ldap://84.23.52.14:389

Если существует резервный LDAP-сервер, его хост также можно указать в настройках Пассворка. В случае выхода из строя основного LDAP-сервера Пассворк автоматически сделает резервный сервер основным и будет направлять на него все запросы DN до решения проблем на основном LDAP-сервере.

Если вы используете защищенный протокол LDAPS, то вместо IP-адреса следует указать CN выпущенного сертификата для Active Directory:

Пример:

ldaps://dc01.passwork.local:636

Подробнее о настройке и использовании LDAPS можно прочитать в разделе Пример настройки LDAPS подключения



Код сервера

Если вам нужно указать несколько LDAP-серверов, необходимо указать код сервера для каждого из них.

Код сервера - это уникальный буквенно-цифровой код, который станет частью логина пользователя. Пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот LDAP-сервер, код которого был указан в логине.

Вы можете оставить это поле пустым, если у вас только один LDAP-сервер и пользователи без кода будут использовать этот сервер для авторизации.

Например, если код сервера dc1, то логин пользователя в Пассворке будет user@dc1. При авторизации в Пассворке пользователь укажет логин user@dc1, Пассворк выделит код сервера dc1, найдет его в базе и будет подключаться к этому LDAP серверу.

Если пользователь укажет при авторизации логин без @, например, user, то Пассворк будет искать LDAP сервер без кода и пытаться к нему подключиться.

Пример:

Логин

Код сервера

Логин в Пассворк

user

нет

user

user

passwork.local

user

passwork

user@passwork



Сервисная учетная запись

Укажите логин и пароль Сервисной учетной записи, у которой есть права для работы с пользователями в Active Directory.

Пассворк хранит эти данные в зашифрованном виде: сохраненный пароль можно изменить, но нельзя просмотреть.

Выберите Имя атрибута для логина в LDAP из списка:

  • Если ваш LDAP-сервер использует операционную систему Windows, выберите samaccountname
  • Если ваш LDAP-сервер работает на операционной системе семейства Linux, выберите uid

Если ваш LDAP-сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, укажите имя нужного атрибута вручную.

Чтобы проверить корректность введенных данных, щелкните кнопку Протестировать



Авторизация

Пассворк позволяет настроить авторизацию пользователей по маске, либо с использованием сервисной учетной записи.

Сервисная учетная запись

Пассворк авторизуется с помощью сервисной учетной записи, затем выполнит поиск пользователя по логину и попытается авторизоваться, используя логин и пароль.

Авторизация через сервисную учетную запись проходит следующие этапы:

  1. На странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль.
  2. Сервер Пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в LDAP и получить его DN.
  3. Сервер Пассворка отправляет запрос (bind) на LDAP-сервер с найденным DN пользователя и его паролем.
  4. LDAP-сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных.
  5. Если введенные учетные данные верны и соответствуют данным на LDAP-сервере, то LDAP-сервер возвращает подтверждение об успешной аутентификации на сервер Пассворка.
  6. Сервер Пассворка получает подтверждение об успешной аутентификации от LDAP-сервера и разрешает пользователю доступ к системе.

Сервисная учетная запись — это наиболее надежный и предпочтительный инструмент авторизации

Маска

Маска превращает логин пользователя Пассворка в строку DN (Distinguished Name), которая используется для авторизации в LDAP и AD. DN зависит от операционной системы и настроек сервера.

Пример:

логин user + маска @my-domain.local → DN [email protected] логин user + маска <login>→ DN user логин user + маска MyDomain\<login> → DN MyDomain\user логин user + маска uid=<login>,ou=Users,dc=example,dc=com → DN uid=user,ou=Users,dc=example,dc=com

Вид маски DN зависит от операционной системы и настроек сервера.

Пример:

Для Active Directory на Windows обычно подходит одна из таких масок:

<login>

Имя-вашего-домена/<login>

<login>@имя-вашего-домена

<login>@имя-вашего-домена.local Для LDAP на Linux:

uid=<login>,ou=Users,dc=example,dc=com



Сопоставление атрибутов пользователя

Чтобы использовать атрибуты LDAP в качестве электронной почты пользователя и полного имени в Пассворке, укажите названия этих атрибутов.

Обычно имя пользователя хранится в одном из следующих атрибутов:

displayname

nm

cn

commonname

name

Email пользователя по умолчанию хранится в атрибуте mail





Обновлено 02 Sep 2024
Doc contributor
Doc contributor
Doc contributor
Помогла ли вам эта страница?