База знаний
Войти

Настройка аутентификации пользователей через внешнюю службу LDAP

Интеграция Комплекса со службой каталогов LDAP сервера СИПА (или иной внешней службой каталогов LDAP) позволяет осуществлять аутентификацию пользователей по протоколу LDAP/LDAPS в РОСА Центр управления. Кроме того, при наличии политики периодической смены паролей обеспечивается стойкость и регулярная смена паролей пользователей РОСА Центр управления через внешнюю службу каталогов.

Для настройки подключения к службе каталогов LDAP нужно перейти в меню "Управление → Источники аутентификации" панели навигации и нажать кнопку Создать источник аутентификации LDAP.

На экране появится интерфейс настройки, в котором параметры подключения распределены по вкладкам (рисунок 11).

Рисунок 11 — Параметры подключения службы каталогов LDAP

Во вкладке "LDAP-сервер" интерфейса настройки указывают необходимые значения для следующих параметров подключения:

  • Имя – краткое наименование подключаемой службы каталогов;
  • Узел – имя или IP-адрес сервера LDAP (без указания протокола подключения);
  • LDAPS – при активации этого параметра будет использоваться зашифрованное подключение;
  • Порт – порт сервера LDAP;
  • Тип сервера – категория (разновидность) сервера каталогов LDAP. В случае подключения к серверу СИПА указывают значение FreeIPA.

После настройки этих параметров требуется нажать кнопку Проверка соединения. Если параметры сервера LDAP были указаны корректно, то проверка пройдет успешно. В противном случае нужно внести необходимые изменения в указанные значения этих параметров.

Во вкладке "Учетная запись" указывают необходимые значения для следующих параметров подключения:

  • Учетная запись – учетная запись службы каталогов LDAP, имеющая право на чтение в каталоге. Пользователь с этой учетной записью может подключаться к службе каталогов и выполнять запросы поиска учетных записей требуемых пользователей в каталоге в процессе аутентификации. В качестве значения указывают отличительное имя для этой учетной записи (например, uid=ldapsearch, cn=users, cn=accounts, dc=rosa, dc=int);
  • Пароль – пароль пользователя, используемый для первоначального подключения к службе каталогов;
  • Базовое DN – отличительное имя для записи каталога, которая содержит учетные записи пользователей (например, dc=rosa, dc=int);
  • Базовый DN группы – отличительное имя для записи каталога, которая содержит информацию о группах пользователей (например, cn=groups, cn=accounts, dc=rosa, dc=int);
  • Использовать сетевые группы – при активации будут использованы сетевые группы NIS вместо групп Posix;
  • Фильтр LDAP – правило фильтрации учетных записей пользователей службы каталогов (при необходимости);
  • Автоматическая регистрация – при активации параметра и в случае успешной авторизации пользователей службы каталогов будут автоматически создаваться соответствующие учетные записи пользователей РОСА Центр управления;
  • Синхронизация пользовательских групп – для синхронизации групп пользователей РОСА Центр управления и групп службы каталогов LDAP этот параметр активируется в обязательном порядке.

Во вкладке "Атрибуты" не требуется дополнительная настройка параметров при подключении службы каталогов LDAP сервера СИПА.

Вкладки "Местоположения" и "Организации" содержат параметры, которые позволяют ограничить доступ пользователей подключаемой службы каталогов только указанными местоположениями и организациями (например, отдельными подразделениями и филиалами) в структуре предприятия.

После завершения настройки параметров подключения нажимают кнопку Применить.

Следует обратить внимание, что успешная аутентификация внешних пользователей службы каталогов LDAP не означает предоставление этим пользователям каких-либо прав по умолчанию в РОСА Центр управления. Поэтому после настройки подключения к службе каталогов необходимо перейти в меню "Управление → Группы пользователей" панели навигации и нажать кнопку Создать группу пользователей для настройки необходимых прав (ролей) и взаимосвязи между группой пользователей РОСА Центр управления и группами службы каталогов LDAP.

На экране появится интерфейс настройки, в котором параметры группы пользователей РОСА Центр управления распределены по вкладкам (рисунок 12).

Рисунок 12 — Параметры группы пользователей

Во вкладке "Группа пользователей" интерфейса настройки указывают краткое наименование группы.

Во вкладке "Роли" присваивают этой группе пользователей необходимые роли в РОСА Центр управления.

Во вкладке "Внешние группы" настраивают соответствие между внутренней группой пользователей РОСА Центр управления и одной или несколькими внешними группами службы каталогов LDAP. При этом каждая из выбранных групп службы LDAP будет наделять своих пользователей правами в соответствии с ролями, которые были ранее присвоены группе пользователей РОСА Центр управления.

Для настройки необходимого соответствия между этими группами следует нажать кнопку Добавить внешнюю группу пользователей и ввести наименование нужной группы службы LDAP без атрибутов и в символьном виде (например, admins или users), после чего выбрать из списка "Источник аутентификации LDAP" ранее подключенную службу каталогов.

После завершения настройки параметров группы пользователей нужно нажать кнопку Применить.

С целью проверки выполняют вход в веб-интерфейс РОСА Центр управления с реквизитами учетной записи внешнего пользователя из ранее выбранной и добавленной группы службы каталогов LDAP для того, чтобы убедиться, что права этого пользователя соответствуют ролям, присвоенным взаимосвязанным группам.

Примечание – Для внутренних пользователей, проходящих локальную аутентификацию при доступе к РОСА Центр управления, рекомендуется создавать собственные отдельные (невзаимосвязанные) группы и присваивать необходимые роли аналогичным образом.

Управление учетными записями внешних пользователей осуществляется в домене службы каталогов. Механизм управления описан в документации на службу каталогов (пункт Перечень документации настоящего руководства).