Active Directory

Определения

Подключение типа «Сервер каталогов» используется для синхронизации аккаунтов со службой Active Directory (AD), OpenLDAP, FreeIPA или аналогичной службой каталогов.

Настройка подключения

1. Откройте список подключений.
2. Создайте подключение типа «Аутентификация» — «Сервер каталогов» или дважды нажмите строку подключения типа «ActiveDirectory».
3. Отобразится окно свойств подключения.

4. Настройте свойства подключения на следующих вкладках:

   • Основные свойства
   • Группы на сервере каталогов
   • Сопоставление атрибутов
   • Дополнительные свойства

5. Проверьте соединение, нажав кнопку «Проверить соединение» на вкладке «Основные».

6. Сохраните подключение.

Основные свойства

• Тип сервера каталогов — выберите:

  • Active Directory
  • OpenLDAP
  • FreeIPA

• Название — введите наглядное наименование подключения.

• Использовать по умолчанию — установите этот флажок, чтобы данное подключение использовалось как основное для синхронизации аккаунтов.
• Отключить синхронизацию — установите этот флажок, чтобы прекратить синхронизацию аккаунтов посредством данного подключения.
• Адрес сервера — укажите адрес сервера каталогов.
• Базовое DN — укажите уникальное имя для доступа к базовой записи сервера каталогов;

• Имя пользователя — логин для входа на сервер каталогов:

  • если выбран тип привязки «Простая», введите отличительное имя пользователя на сервере каталогов, например:

    CN=Ivan Ivanov,CN=Users,DC=corp,DC=example,DC=com 
    

  • если выбран тип привязки «По учётным данным», введите отличительное имя пользователя или логин для входа на сервер каталогов.

• Пароль — пароль для входа на сервер каталогов.

• Тип привязки — выберите режим привязки пользователей:

  • Простая
  • По учётным данным

• Аутентификация пользователей — выберите протокол проверки подлинности:

  • LDAP
  • Kerberos

• Режим синхронизации

  • Синхронизировать все аккаунты (без групп) — выберите этот пункт, чтобы синхронизировать аккаунты без учёта их вхождения в группы и без синхронизации групп.
  • Выбрать группы для синхронизации — выберите этот пункт, чтобы синхронизировать аккаунты в выбранных группах. См. вкладку «Группы на сервере каталогов».

• Проверить соединение — нажмите эту кнопку, чтобы протестировать подключение к серверу каталогов.

• Синхронизировать — нажмите эту кнопку, чтобы принудительно синхронизировать аккаунты с сервером каталогов.

Группы на сервере каталогов

• Исключить все — нажмите эту кнопку, чтобы прекратить синхронизацию всех групп, перечисленных в таблице ниже.
• Включить все — нажмите эту кнопку, чтобы включить синхронизацию всех групп, перечисленных в таблице ниже.
• Синхронизируется — в этом столбце отображается флажок, если соответствующая группа на сервере каталогов синхронизируется с Comindware Platform.
• Название — в этом столбце отображается название группы на сервере каталогов.
• Уникальное имя — в этом столбце отображается уникальное имя группы на сервере каталогов.

Сопоставление атрибутов

• Изменить — нажмите эту кнопку, чтобы отредактировать сопоставление атрибутов между Comindware Platform и сервером каталогов.
• Восстановить — нажмите эту кнопку, вернуть стандартное сопоставление атрибутов между Comindware Platform и сервером каталогов.
• Атрибут аккаунта — в этом столбце укажите атрибуты аккаунта на стороне Comindware Platform.
• Атрибут сервера каталогов — в этом столбце указаны атрибуты аккаунтов на стороне сервера каталогов.

Дополнительные свойства

• Запретить вход — установите этот флажок, чтобы использовать подключение только для синхронизации аккаунтов, но не для входа в систему.

• Домен — укажите домен сервера каталогов, используемый для аутентификации.

  При использовании нескольких доменов Active Directory:

  • В поле «Домен» укажите домен, который будет использоваться как домен по умолчанию для данного подключения и (при настройке SSO через Kerberos в Linux) как домен по умолчанию для аутентификации. См. «SSO-аутентификация. Настройка ПО, контроллера домена и ПК пользователя».
  • Пользователи домена по умолчанию без SSO могут проходить аутентификацию в Comindware Platform, указывая только имя пользователя (например, user1).
  • Пользователи домена по умолчанию могут проходить авторизацию через SSO без ввода имени пользователя и пароля.
  • Пользователи других доменов могут проходить аутентификацию, указывая домен явно, например domain\user1 или user1@domain.COMPANY.LOCAL.
  • SSO одновременно из нескольких доменов следует реализовывать во внешней инфраструктуре (например, через федерацию удостоверений на базе Keycloak) с дальнейшей аутентификацией в Comindware Platform по протоколу OpenID Connect, см. «Аутентификация через Keycloak и OpenID Connect. Настройка подключения и служб».

• Интервал опроса — укажите периодичность синхронизации, чтобы включить автоматическую периодическую синхронизацию аккаунтов с сервером каталогов. Если оставить это поле пустым, то синхронизация будет выполняться только при нажатии кнопки «Синхронизировать» на вкладке «Основные».

• Загружать данные аккаунтов

  • Только обновленные — выберите этот пункт, чтобы при синхронизации загружались только данные аккаунтов, изменённых на стороне сервера каталогов (при первой синхронизации загружаются все аккаунты).
  • Все — выберите этот пункт, чтобы при синхронизации загружались данные всех аккаунтов.

• Действия при исключении аккаунтов с сервера каталогов — доступно при выборе «Синхронизировать все аккаунты (без групп)» в поле «Режим синхронизации» на вкладке «Основные»:

  • Отключение или включение — укажите действие с аккаунтами в Comindware Platform в зависимости от их статуса на сервере каталогов:

    • Не изменять аккаунты
    • Отключить исключённые аккаунты
    • Включить все несинхронизированные

  • Архивирование или разархивирование — укажите действие с аккаунтами в Comindware Platform в зависимости от их статуса на сервере каталогов:

    • Не изменять аккаунты
    • Архивировать исключённые
    • Разархивировать все несинхронизированные