Администрирование
Настройки LDAP

Добавление сервера

13min

Название сервера и адрес

Document image


В поле Название сервера впишите имя, под которым LDAP-сервер будет отображаться в Пассворке.

В разделе Основной хост укажите адрес LDAP-сервера. Необходимо указать полный адрес, включая протокол и порт.

Пример:

ldap://84.23.52.14:389

Если существует резервный LDAP-сервер, его адрес также можно указать в настройках Пассворка. В случае выхода из строя основного LDAP-сервера Пассворк автоматически сделает резервный сервер основным и будет направлять на него все DN-запросы до решения проблем на основном LDAP-сервере.

Если вы используете защищенный протокол LDAPS, то вместо IP-адреса следует указать CN выпущенного сертификата для Active Directory:

Пример:

ldaps://dc01.passwork.local:636

Подробнее о настройке и использовании LDAPS можно прочитать в разделе Пример настройки LDAPS



Код сервера

Если вам нужно указать несколько LDAP-серверов, необходимо указать код сервера для каждого из них.

Код сервера - это уникальный буквенно-цифровой код, который станет частью логина пользователя. Пассворк считывает код сервера из логина пользователя и выполняет авторизацию, используя тот LDAP-сервер, код которого был указан в логине.

Вы можете оставить это поле пустым, если у вас только один LDAP-сервер и пользователи без кода будут использовать этот сервер для авторизации.

Например, если код сервера dc1, то логин пользователя в Пассворке будет user@dc1. При авторизации в Пассворке пользователь укажет логин user@dc1, Пассворк выделит код сервера dc1, найдет его в базе и будет подключаться к этому LDAP серверу.

Если пользователь укажет при авторизации логин без @, например, user, то Пассворк будет искать LDAP сервер без кода и пытаться к нему подключиться.

Пример:

Логин

Код сервера

Логин в Пассворке

user

нет

user

user

passwork.local

user

passwork

user@passwork



Сервисная учетная запись

Укажите логин и пароль Сервисной учетной записи, у которой есть права для работы с пользователями в Active Directory.

Пассворк хранит эти данные в зашифрованном виде: сохраненный пароль можно изменить, но нельзя просмотреть.

Выберите Имя атрибута для логина в LDAP из списка:

  • Если ваш LDAP-сервер использует Windows, выберите samaccountname
  • Если ваш LDAP-сервер работает на операционной системе семейства Linux, выберите uid

Если ваш LDAP-сервер настроен так, что логины пользователей не хранятся в атрибуте по умолчанию, укажите имя нужного атрибута вручную.

Чтобы проверить корректность введенных данных, нажмите Протестировать



Авторизация

Пассворк позволяет настроить авторизацию пользователей с использованием сервисной учетной записи, либо по маске.

Сервисная учетная запись

Пассворк авторизуется с помощью сервисной учетной записи, затем выполняетт поиск пользователя по логину и пытается авторизоваться, используя логин и пароль.

Авторизация через сервисную учетную запись делится на следующие этапы:

  1. На странице авторизации пользователь вводит свои учетные данные, такие как имя пользователя и пароль.
  2. Сервер Пассворка использует сервисную учетную запись, чтобы найти пользователя с таким логином в LDAP и получить его DN.
  3. Сервер Пассворка отправляет bind-запрос на LDAP-сервер с найденным DN пользователя и его паролем.
  4. LDAP-сервер проверяет соответствие введенных учетных данных с данными, хранящимися в его базе данных.
  5. Если введенные учетные данные верны и соответствуют данным на LDAP-сервере, то LDAP-сервер возвращает подтверждение об успешной аутентификации на сервер Пассворка.
  6. Сервер Пассворка получает подтверждение об успешной аутентификации от LDAP-сервера и разрешает пользователю доступ к системе.

Сервисная учетная запись — это наиболее надежный и предпочтительный инструмент авторизации

Маска

Маска превращает логин пользователя Пассворка в строку DN (Distinguished Name), которая используется для авторизации в LDAP и AD. DN зависит от операционной системы и настроек сервера.

Пример:

  • логин user + маска @my-domain.local → DN [email protected]
  • логин user + маска <login>→ DN user
  • логин user + маска MyDomain\<login> → DN MyDomain\user
  • логин user + маска uid=<login>,ou=Users,dc=example,dc=com → DN uid=user,ou=Users,dc=example,dc=com

Пример:

Для Active Directory на Windows обычно подходит одна из таких масок:

  • <login>
  • Имя-вашего-домена/<login>
  • <login>@имя-вашего-домена
  • <login>@имя-вашего-домена.local

Для LDAP на Linux:

  • uid=<login>,ou=Users,dc=example,dc=com


Сопоставление атрибутов пользователя

Чтобы использовать атрибуты LDAP в качестве электронной почты пользователя и полного имени в Пассворке, укажите названия этих атрибутов.

Обычно имя пользователя хранится в одном из следующих атрибутов:

  • displayname
  • nm
  • cn
  • commonname
  • name

Email пользователя по умолчанию хранится в атрибуте mail





Обновлено 20 Jan 2025
Doc contributor
Doc contributor
Doc contributor
Помогла ли вам эта страница?