Для подключения к серверу каталогов (например, Active Directory (AD)) используется заданное имя или IP адрес сервера. При необходимости возможно указать номер порта через двоеточие в строке адреса сервера. Comindware Platform (далее «Система») задаёт авторизованные (IANA) порты для безопасного и небезопасного соединения. Если сервер поддерживает безопасную передачу данных, укажите LDAPS (LDAP с шифрованием по SSL или TLS) порт 636 для установления данного соединения, в противном случае сервером будет выбран LDAP порт 389. Так же необходимо указать базовое имя (DN) – запись в директории, из которой будут выполняться поисковые запросы. Базовое DN LDAP похоже на путь в файловой системе, но указывается в следующем порядке: первым – относительное отличительное имя (RDN) и далее поднимается по дереву слева направо. Например, базовое имя (DN) может выглядеть следующим образом: «CN=Иван Иванов, OU=Users, DC=example, DC=com». Базовое имя ограничивает доступ к системе Active Directory.
Предусмотрены следующие режимы синхронизации:
Все изменения пользователей на сервере AD синхронизируются с Системой только принудительно или по расписанию.
Примечание
Система хранит данные о версии загружаемого объекта. При создании повторного соединения, система запрашивает данные, проверяет версию каждого объекта, если она изменилась, то данные синхронизируются.
Типы синхронизации:
Определение соответствия данных группы производится следующим образом:
| Comindware Platform | Active Directory | |
|---|---|---|
| Системное имя | Отображаемое название | Системное имя |
| Name | Название | CN |
| Description | Описание | Description |
| members | Участники группы | Member |
| parentGroups | Входит в группы | MemberOf |
| Username | Имя пользователя | SamAccountName |
| IsActive | Активен (логический атрибут) | IsEnabled |
| Mbox | Адрес эл.почты | |
| FullName | Имя | FullName |
| Title | Должность | Title |
| Department | Отдел | Department |
| Office | Офис | PhysucakDeliveryOfficeName |
| Skype | Skype | Pager |
| Manager | Руководитель | ManagerID |
| Phone | Телефон | TelephoneNumber, Mobile |
| Authentification=LDAP | Метод проверки подлинности | |
| Picture | Аватар | |
После ввода адреса эл. почты или имени пользователя и пароля на начальной странице Система идентифицирует аккаунт в собственной базе данных. Если аккаунт существует в базе данных Системы и у него указана проверка подлинности по LDAP или по федеративной аутентификации, то Система посылает запрос в Active Directory или Active Directory Federation Services для аутентификации имени пользователя и пароля. В случае успеха создаётся токен сеанса, который при последующих веб-запросах автоматически передаётся в Систему и позволяет ей получить информацию о текущем пользователе для авторизации запроса. В собственной базе данных Система пароль не хранит.
Если в свойствах аккаунта изменить Способ аутентификации на Локальную аутентификацию, то авторизация пользователя будет проходить локально. Администратор может сменить пароль аккаунта непосредственно в Системе, в таком случае при последующей синхронизации с Active Directory пароль не будет перезаписан. Пароль хранится в базе данных Системы.
Инструкции по настройке подключения к серверу каталогов см. в следующих статьях:
Номер Статьи: 4655
Размещено: Mon, Jan 9, 2023
Последнее обновление: Tue, Sep 3, 2024
Online URL: https://kb.comindware.ru/article/sinhronizaciya-s-serverom-katalogov-active-directory-4655.html