Действия с внешним каталогом

Действия с внешними каталогами доступны только пользователям с ролью Суперадминистратор.

Изменение сведений о внешнем каталоге

Чтобы изменить сведения о внешнем каталоге:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, сведения о котором нужно изменить.
В поле Сведения о каталоге нажмите на кнопку Редактировать.
Измените нужные поля:
- Название * — название внешнего каталога;
- LDAP-провайдер — провайдер каталога, с которым нужно настроить взаимодействие:
  - FreeIPA — используется в ОС Linux с интегрированными сервисами;
  - Active Directory — используется в ОС Windows;
  - Другой — используется в пользовательских LDAP-совместимых каталогах, например OpenLDAP;
- Описание — описание внешнего каталога.
Нажмите на кнопку Сохранить.

Изменение параметров подключения

Чтобы изменить параметры подключения внешнего каталога:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, параметры подключения которого нужно изменить.
В поле Параметры подключения нажмите на кнопку Редактировать.
Измените нужные поля:
- URL для подключения * — URL-адрес и порт внешнего каталога. Например:
  - ldap://free-ipa.stage.vmw.t1.loc:389;
  - ldaps://10.15.340.11:636;
- Имя пользователя * — имя пользователя с доступом на чтение к внешнему каталогу;
- Пароль пользователя * — пароль пользователя с доступом на чтение к внешнему каталогу;
- Тип соединения * — доступ к внешнему каталогу:
  - Без шифрования — данные передаются в открытом виде;
  - Использовать TLS шифрование — шифрование с момента установки соединения;
  - Использовать StartTLS расширение — канал шифруется TLS поверх TCP-соединения;
- Cертификат — файл сертификата в формате PEM или CRT (при типе соединения Использовать TLS шифрование или Использовать StartTLS расширение).
Нажмите на кнопку Сохранить.

Изменение LDAP-сведений для поиска в каталоге

Чтобы изменить LDAP-сведения для поиска в каталоге:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, в котором нужно изменить LDAP-сведения для поиска.
В поле LDAP-сведения для поиска нажмите на кнопку Редактировать.
Измените нужные поля:
- Базовое уникальное имя * — базовое уникальное имя (Base DN). Корневая точка поиска указывает, с какого уровня начинать поиск записей. Например:
  - для LDAP-провайдера Active Directory:
    - cn=users;
    - dc=ad;
    - dc=example;
    - dc=com;
  - для LDAP-провайдера FreeIPA или Другой:
    - ou=people;
    - dc=freeipa;
    - dc=example;
    - dc=com;
- LDAP ID атрибут * — уникальный идентификатор записи в каталоге LDAP. Используется для однозначного сопоставления записей:
  - для LDAP-провайдера Active Directory — по умолчанию установлено значение objectGUID. При необходимости измените его;
  - для LDAP-провайдера FreeIPA или Другой — по умолчанию установлено значение entityUUID. При необходимости измените его;
- LDAP Object Classes * — типы записей (пользователи, группы и т.д.), которые будут синхронизироваться. Например, для синхронизации пользователей можно указать записи: person, organizationalPerson, user;
- LDAP Filter — дополнительный фильтр для уточнения поиска. Позволяет исключить из области поиска (или включить в область поиска) определённые записи. Должен начинаться со знака (и заканчиваться знаком). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать все записи, у которых email начинается на test.
Нажмите на кнопку Сохранить.

Изменение сведений о синхронизации

Чтобы изменить сведения о синхронизации внешнего каталога:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, в котором нужно изменить сведения о синхронизации.
В поле Периодическая синхронизация нажмите на кнопку Редактировать.
Измените нужные поля:
- Периодическая синхронизация — активируйте переключатель, если нужно настроить периодическую синхронизацию внешнего каталога, или деактивируйте переключатель, если периодическая синхронизация не нужна;
- Время — время запуска синхронизации (по Москве). Чтобы добавить ещё одно время запуска синхронизации, нажмите на кнопку и укажите нужное время. Минимальный интервал между запусками — 6 часов;
- Отправлять активацию пользователей — установите флажок, чтобы новым пользователям (созданным при синхронизации внешнего каталога) приходило письмо о создании учётной записи;
- Импорт новых пользователей — установите флажок, чтобы создать учётные записи для пользователей, найденных в каталоге LDAP, но отсутствующих в консоли администратора. Создаются только те учётные записи, домен электронной почты которых принадлежит компании. Учётные записи создаются в статусе Ожидает регистрации;
- Обновление данных пользователей — установите флажок, чтобы обновлять данные пользователей в консоли администратора на основе данных, полученных при синхронизации каталога LDAP;
- Деактивация пользователей — установите флажок, чтобы заблокировать учётные записи пользователей, которые заблокированы в каталоге LDAP или не были найдены в результате синхронизации.
Примечание
При синхронизации каталога LDAP автоматически обновляются атрибуты Имя, Фамилия и Почта. Если нужно обновлять и другие атрибуты, донастройте маппинг атрибутов.
Нажмите на кнопку Сохранить.

По завершении синхронизации в поле Сведения о синхронизации отображается результат и время последней синхронизации. Посмотреть подробные сведения о синхронизации можно по ссылке Подробнее... или в разделе Аудит → Журнал синхронизации каталогов.

Примечание

Синхронизацию можно запустить вручную.

Запуск синхронизации внешнего каталога вручную

Чтобы вручную запустить синхронизацию пользователей из каталога LDAP с пользователями консоли администратора:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, синхронизацию которого нужно запустить вручную.
В поле Сведения о синхронизации нажмите на кнопку .
Заполните поля:
- Отправлять активацию пользователей — установите флажок, чтобы новым пользователям (созданным при синхронизации внешнего каталога) приходило письмо о создании учётной записи;
- Импорт новых пользователей — установите флажок, чтобы создать учётные записи для пользователей, найденных в каталоге LDAP, но отсутствующих в консоли администратора. Создаются только те учётные записи, домен электронной почты которых принадлежит компании. Учётные записи создаются в статусе Ожидает регистрации;
- Обновление данных пользователей — установите флажок, чтобы обновлять данные пользователей в консоли администратора на основе данных, полученных при синхронизации каталога LDAP;
  Примечание
  При синхронизации каталога LDAP автоматически обновляются атрибуты Имя, Фамилия и Почта. Если нужно обновлять и другие атрибуты, донастройте маппинг атрибутов.
- Деактивация пользователей — установите флажок, чтобы заблокировать учётные записи пользователей, которые заблокированы в каталоге LDAP или не были найдены в результате синхронизации.
Нажмите на кнопку Запустить.

Примечание

Нельзя запустить новую синхронизацию, если предыдущая ещё не завершилась.

Изменение маппинга атрибутов

Маппинг атрибутов LDAP — это процесс сопоставления атрибутов из каталога LDAP (например, Active Directory) с атрибутами в консоли администратора. Маппинг необходим для корректного добавления и обновления данных пользователей в консоли администратора при синхронизации каталога LDAP.

При добавлении внешнего каталога автоматически настраивается маппинг атрибутов Имя, Фамилия и Почта. Вы можете донастроить маппинг атрибутов:

В главном меню консоли перейдите в раздел Внешние каталоги.
Нажмите на строку с внешним каталогом, маппинг атрибутов которого нужно настроить.
В поле Маппинг атрибутов нажмите на кнопку Редактировать.
Введите наименования атрибутов LDAP-каталога в нужные поля. Пример маппинга атрибутов:
Нажмите на кнопку Сохранить.

Маппинг атрибутов может отличаться от примера, приведённого выше. Подробную информацию об атрибутах см. в официальной документации используемого LDAP-провайдера.

В этой статье

Мы ответили на ваш вопрос?