Настройка синхронизации пользователей и групп через агент синхронизации (только для DION)

Вы можете настроить синхронизацию пользователей с каталогом LDAP одним из способов:

• с помощью внешнего каталога, если обеспечен прямой сетевой доступ консоли администратора к каталогу LDAP. Внешние каталоги совместимы с любым типом ОС;
• с помощью агента синхронизации, если нет прямого сетевого доступа консоли администратора к каталогу LDAP (например, если консоль администратора развёрнута в облаке). Установить агент синхронизации можно на серверы с ОС Linux и Windows Server. Способ доступен только для DION.
  С помощью агента синхронизации можно настроить не только синхронизацию пользователей, но и групп.

Чтобы настроить синхронизацию каталога LDAP через агент синхронизации:

1. Создайте сервисный аккаунт с типом Агент синхронизации и сохраните JSON-файл, содержащий информацию для подключения к системе с использованием данного сервисного аккаунта.
   Сервисный аккаунт с типом Агент синхронизации необходим для запуска синхронизации и передачи данных пользователей и групп из каталога LDAP в консоль администратора.
2. Добавьте агент синхронизации.
3. При необходимости настройте маппинг атрибутов пользователей и групп.
4. Подключитесь к серверу с ОС Linux или Windows Server, на который нужно установить агент синхронизации.
5. Скачайте deb-пакет на сервер. Для получения ссылки для скачивания deb-пакета обратитесь в тех. поддержку Т1 Облако.
6. На сервере с ОС Windows Server запустите exe-файл для установки агента синхронизации.
   На сервере с ОС Linux:
   1. Установите deb-пакет, выполнив команду:
      
      
      После установки deb-пакета агент синхронизации будет запускаться каждый час. Вы можете это проверить:

      Чтобы проверить, выполните команду:

      В ответе будет указано, что агент синхронизации работает, синхронизация запускается автоматически каждый час:

      
      
      Чтобы изменить периодичность автоматической синхронизации:

      1. Загрузите JSON-файл с параметрами подключения в папку /etc/iam-sync-agent/ на сервер, на который установлен агент синхронизации.
      2. Откройте конфигурационный файл, выполнив команду:
         
      3. В конфигурационном файле измените значение в параметре sync_period.
      4. Сохраните файл и выйдите из редактора, нажав Ctrl+X, затем y и Enter.
      5. После изменения конфигурационного файла перезапустите агент синхронизации, выполнив команду:
         
      6. Проверьте соединение с каталогом LDAP и результаты поиска пользователей и групп, выполнив команду:
         Успешный результат выглядит так:
         
   2. Загрузите JSON-файл с параметрами подключения в папку /etc/iam-sync-agent/ на сервер, на который установлен агент синхронизации.
   3. Откройте конфигурационный файл, выполнив команду:
      
   4. Заполните конфигурационный файл.
      
      Пример заполнения конфигурационного файла

      где:

      • sync_period — периодичность синхронизации. Например 1h (1 час), 5m (5 минут);
      • ldap_connection:

        • url — URL для соединения консоли администратора с каталогом LDAP. В качестве порта укажите один из вариантов:

          • 389 — для протокола LDAP;

          • 636 — для протокола LDAPS.
            Если в url не указан порт, порт определяется автоматически по значению параметра encryption_type;

        • encryption_type — тип шифрования соединения с каталогом LDAP:

          • none — без шифрования. Данные передаются в открытом виде;

          • tls — тип шифрования TLS  по порту 636;

          • starttls — тип шифрования STARTTLS  по порту 389;

        • insecure — признак установки соединения без проверки сертификата сервера. Параметр актуален, только если в encryption_type указано tls или starttls;

        • bind_dn, bind_password — имя и пароль учётной записи с правами на чтение в каталоге LDAP;

        • users_search:
          • base_dn — базовое уникальное имя. Корневая точка поиска указывает, с какого уровня начинать поиск пользователей в каталоге LDAP;
          • ldap_filter — фильтр для поиска пользователей в каталоге LDAP. Позволяет исключить из области поиска (или включить в область поиска) определённых пользователей. Должен начинаться со знака ( и заканчиваться знаком ). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать пользователей, у которых email начинается на test;
          • ldap_id — уникальный идентификатор пользователя в каталоге LDAP. Используется для однозначного сопоставления пользователей;
        • groups_search:
          • base_dn — базовое уникальное имя. Корневая точка поиска указывает, с какого уровня начинать поиск групп в каталоге LDAP;

          • ldap_filter — фильтр для поиска групп в каталоге LDAP. Позволяет исключить из области поиска (или включить в область поиска) определённые группы. Должен начинаться со знака ( и заканчиваться знаком );

          • ldap_id — уникальный идентификатор группы в каталоге LDAP. Используется для однозначного сопоставления групп;
      • api:

        • base_url — адрес API консоли администратора, куда агент синхронизации будет отправлять данные, полученные из каталога LDAP. Вставьте значение Base URL из Swagger;

        • agent_id — идентификатор агента синхронизации. Идентификатор можно скопировать в Сведениях об агенте;
      • storage:
        • csv_path — путь до папки для сохранения данных синхронизации. В папке хранятся CSV-файлы, полученные в результате синхронизации, но ещё не переданные в API;
        • archive_path — путь до папки для архивации CSV-файлов, переданных в API.
   5. Сохраните файл и выйдите из редактора, нажав Ctrl+X, затем y и Enter.
   6. После изменения конфигурационного файла перезапустите агент синхронизации, выполнив команду:
      
   7. Проверьте соединение с каталогом LDAP и результаты поиска пользователей и групп, выполнив команду:
      Успешный результат выглядит так:
      

Посмотреть подробные сведения о синхронизации можно в разделе Аудит → Журнал синхронизации каталогов.

Синхронизацию можно запустить вручную независимо от автоматической синхронизации. Подробнее см. раздел Запуск синхронизации вручную (только для DION).