Настройка синхронизации пользователей и групп через агент синхронизации (только для DION)

Вы можете настроить синхронизацию пользователей с каталогом LDAP одним из способов:

• с помощью внешнего каталога, если обеспечен прямой сетевой доступ консоли администратора к каталогу LDAP. Внешние каталоги совместимы с любым типом ОС;
• с помощью агента синхронизации, если нет прямого сетевого доступа консоли администратора к каталогу LDAP (например, если консоль администратора развёрнута в облаке). Установить агент синхронизации можно только на серверы с ОС Linux. Способ доступен только для DION.
  С помощью агента синхронизации можно настроить не только синхронизацию пользователей, но и групп.

Чтобы настроить синхронизацию каталога LDAP через агент синхронизации:

1. Добавьте агент синхронизации.
2. При необходимости настройте маппинг атрибутов пользователей и групп.
3. Создайте сервисный аккаунт с типом Агент синхронизации и сохраните JSON-файл, содержащий информацию для подключения к системе с использованием данного сервисного аккаунта.
   Сервисный аккаунт с типом Агент синхронизации необходим для запуска синхронизации и передачи данных пользователей и групп из каталога LDAP в консоль администратора.
4. Подключитесь к серверу с ОС Linux, на который нужно установить агент синхронизации.

   Важно

   Установка агента синхронизации возможна только на серверы с ОС Linux.

5. Скачайте deb-пакет на сервер. Для получения ссылки для скачивания deb-пакета обратитесь в тех. поддержку Т1 Облако.
6. Установите deb-пакет, выполнив команду:
   
   После установки deb-пакета агент синхронизации будет запускаться каждый час. Вы можете это проверить:

   Чтобы проверить, выполните команду:

   В ответе будет указано, что агент синхронизации работает, синхронизация запускается автоматически каждый час:

   Чтобы изменить периодичность автоматической синхронизации:

   1. Загрузите JSON-файл с параметрами подключения в папку /etc/iam-sync-agent/ на сервер, на который установлен агент синхронизации.
   2. Откройте конфигурационный файл, выполнив команду:
   3. В конфигурационном файле измените значение в параметре sync_period.
   4. Сохраните файл и выйдите из редактора, нажав Ctrl+X, затем y и Enter.
   5. После изменения конфигурационного файла перезапустите агент синхронизации, выполнив команду:
   6. Проверьте соединение с каталогом LDAP и результаты поиска пользователей и групп, выполнив команду:

      Успешный результат выглядит так:

7. Загрузите JSON-файл с параметрами подключения в папку /etc/iam-sync-agent/ на сервер, на который установлен агент синхронизации.
8. Откройте конфигурационный файл, выполнив команду:
9. Заполните конфигурационный файл.
   
   Пример заполнения конфигурационного файла

   где:

   • sync_period — периодичность синхронизации. Например 1h (1 час), 5m (5 минут);
   • ldap_connection:

     • url — URL для соединения консоли администратора с каталогом LDAP. В качестве порта укажите один из вариантов:

       • 389 — для протокола LDAP;

       • 636 — для протокола LDAPS.
         Если в url не указан порт, порт определяется автоматически по значению параметра encryption_type;

     • encryption_type — тип шифрования соединения с каталогом LDAP:

       • none — без шифрования. Данные передаются в открытом виде;

       • tls — тип шифрования TLS  по порту 636;

       • starttls — тип шифрования STARTTLS  по порту 389;

     • insecure — признак установки соединения без проверки сертификата сервера. Параметр актуален, только если в encryption_type указано tls или starttls;

     • bind_dn, bind_password — имя и пароль учётной записи с правами на чтение в каталоге LDAP;

     • users_search:
       • base_dn — базовое уникальное имя. Корневая точка поиска указывает, с какого уровня начинать поиск пользователей в каталоге LDAP;
       • ldap_filter — фильтр для поиска пользователей в каталоге LDAP. Позволяет исключить из области поиска (или включить в область поиска) определённых пользователей. Должен начинаться со знака ( и заканчиваться знаком ). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать пользователей, у которых email начинается на test;
       • ldap_id — уникальный идентификатор пользователя в каталоге LDAP. Используется для однозначного сопоставления пользователей;
     • groups_search:
       • base_dn — базовое уникальное имя. Корневая точка поиска указывает, с какого уровня начинать поиск групп в каталоге LDAP;

       • ldap_filter — фильтр для поиска групп в каталоге LDAP. Позволяет исключить из области поиска (или включить в область поиска) определённые группы. Должен начинаться со знака ( и заканчиваться знаком );

       • ldap_id — уникальный идентификатор группы в каталоге LDAP. Используется для однозначного сопоставления групп;
   • api:

     • base_url — адрес API консоли администратора, куда агент синхронизации будет отправлять данные, полученные из каталога LDAP. Вставьте значение Base URL из Swagger;

     • agent_id — идентификатор агента синхронизации. Идентификатор можно скопировать в Сведениях об агенте;
   • storage:
     • csv_path — путь до папки для сохранения данных синхронизации. В папке хранятся CSV-файлы, полученные в результате синхронизации, но ещё не переданные в API;
     • archive_path — путь до папки для архивации CSV-файлов, переданных в API.
10. Сохраните файл и выйдите из редактора, нажав Ctrl+X, затем y и Enter.
11. После изменения конфигурационного файла перезапустите агент синхронизации, выполнив команду:
12. Проверьте соединение с каталогом LDAP и результаты поиска пользователей и групп, выполнив команду:

    Успешный результат выглядит так:

Посмотреть подробные сведения о синхронизации можно в разделе Аудит → Журнал синхронизации каталогов.

Синхронизацию можно запустить вручную независимо от автоматической синхронизации. Подробнее см. раздел Запуск синхронизации вручную (только для DION).