База знаний
Войти

Настройка аутентификации пользователей через внешнюю службу LDAP

Интеграция Комплекса со службой каталогов LDAP сервера СИПА (или иной внешней службой каталогов LDAP) позволяет осуществлять аутентификацию пользователей по протоколу LDAP/LDAPS в РОСА Центр управления. Кроме того, при наличии политики периодической смены паролей обеспечивается стойкость и регулярная смена паролей пользователей РОСА Центр управления через внешнюю службу каталогов.

Для настройки подключения к службе каталогов LDAP нужно выполнить вход в веб-интерфейс РОСА Центр управления, перейти в меню "Администратор → Источники Аутентификации" панели навигации и нажать кнопку Создать источник аутентификации LDAP.

На экране появится интерфейс настройки, в котором параметры подключения распределены по вкладкам (рисунок 69).

Рисунок 69 — Параметры подключения службы каталогов LDAP

Во вкладке "Сервер LDAP" интерфейса настройки указывают необходимые значения для следующих параметров подключения:

  • Имя – краткое наименование подключаемой службы каталогов;
  • Узел – имя или IP-адрес сервера LDAP (без указания протокола подключения);
  • LDAPS – при активации этого параметра будет использоваться зашифрованное подключение;
  • Порт – порт сервера LDAP;
  • Тип сервера – категория (разновидность) сервера каталогов LDAP. В случае подключения к серверу СИПА указывают значение FreeIPA.

После настройки этих параметров следует нажать кнопку Проверка соединения. Если параметры сервера LDAP были указаны корректно, то проверка пройдет успешно. В противном случае нужно внести необходимые изменения в указанные значения этих параметров.

Во вкладке "Учетная запись" указывают необходимые значения для следующих параметров подключения:

  • Учетная запись – учетная запись службы каталогов LDAP, имеющая право на чтение в каталоге. Этот пользователь используется для подключения к службе каталогов и выполнения запросов поиска учетных записей необходимых пользователей в каталоге в процессе аутентификации. В качестве значения следует указать отличительное имя для этой учетной записи (например, uid=ldapsearch,cn=users,cn=accounts,dc=dev,dc=lan);
  • Пароль учетной записи – пароль пользователя, используемого для первоначального подключения к службе каталогов;
  • Базовый DN – отличительное имя для записи каталога, которая содержит учетные записи пользователей (например, dc=dev,dc=lan);
  • Базовый DN групп – отличительное имя для записи каталога, которая содержит информацию о группах пользователей (например, cn=groups,cn=accounts,dc=dev,dc=lan);
  • Использовать сетевые группы – при активации будут использованы сетевые группы NIS вместо групп Posix;
  • LDAP-фильтр – при необходимости задайте правила фильтрации учетных записей пользователей службы каталогов;
  • Автоматическая регистрация – при активации параметра и в случае успешной авторизации пользователей службы каталогов будут автоматически создаваться соответствующие учетные записи пользователей РОСА Центр управления;
  • Синхронизация пользовательских групп – обязательно активируют этот параметр, чтобы осуществлялась синхронизация групп пользователей РОСА Центр управления и групп службы каталогов LDAP.

Во вкладке "Атрибуты" не требуется дополнительная настройка параметров при подключении службы каталогов LDAP сервера СИПА.

Вкладки "Местоположения" и "Организации" содержат параметры, которые позволяют ограничить доступ пользователей подключаемой службы каталогов только указанными местоположениями и организациями (например, отдельными подразделениями и филиалами) в структуре предприятия.

После завершения настройки параметров подключения нужно нажать кнопку Применить.

Следует обратить внимание, что успешная аутентификация внешних пользователей службы каталогов LDAP не означает предоставление этим пользователям каких-либо прав по умолчанию в РОСА Центр управления. Поэтому после настройки подключения к службе каталогов необходимо перейти в меню "Управление → Группы пользователей" панели навигации и нажать кнопку Создать группу пользователей для настройки необходимых прав (ролей) и взаимосвязи между группой пользователей РОСА Центр управления и группами службы каталогов LDAP.

На экране появится интерфейс настройки, в котором параметры группы пользователей РОСА Центр управления распределены по вкладкам (рисунок 70).

Рисунок 70 — Параметры группы пользователей

Во вкладке "Группа пользователей" интерфейса настройки указывают краткое наименование группы.

Во вкладке "Роли" присваивают этой группе пользователей необходимые роли в РОСА Центр управления.

Во вкладке "Внешние группы" настраивают соответствие между внутренней группой пользователей РОСА Центр управления и одной или несколькими внешними группами службы каталогов LDAP. При этом каждая из выбранных групп службы LDAP будет наделять своих пользователей правами в соответствии с ролями, которые были ранее присвоены группе пользователей РОСА Центр управления.

Для настройки необходимого соответствия между этими группами нужно нажать кнопку +Добавить внешнюю группу пользователей и ввести наименование нужной группы службы LDAP без атрибутов и в символьном виде (например, admins или users), после чего выбрать из списка "Источник аутентификации" ранее подключенную службу каталогов.

После завершения настройки параметров группы пользователей нужно нажать кнопку Применить.

С целью проверки следует выполнить вход в веб-интерфейс РОСА Центр управления с реквизитами учетной записи внешнего пользователя из ранее выбранной и добавленной группы службы каталогов LDAP и убедиться, что права этого пользователя соответствуют ролям, присвоенным взаимосвязанным группам.

Примечание – Для внутренних пользователей, проходящих локальную аутентификацию при доступе к РОСА Центр управления, рекомендуется создавать собственные отдельные (невзаимосвязанные) группы и присваивать необходимые роли аналогичным образом.