Добавление внешнего каталога в консоль администратора
Если у вас есть каталог пользователей (например, в Active Directory, OpenLDAP), то можно настроить синхронизацию пользователей из этого каталога с пользователями консоли администратора по протоколу LDAP.
Для этого пользователю с ролью Суперадминистратор нужно добавить внешний каталог на консоль администратора:
- В главном меню консоли перейдите в раздел Внешние каталоги.
- Нажмите на кнопку Добавить или на кнопку Добавить, если в организации уже есть созданный внешний каталог.
Примечание
В одной организации можно добавить максимум 3 внешних каталога.
- Заполните поля:Сведения о каталоге:
- Название * — название внешнего каталога;
- LDAP-провайдер — провайдер каталога, с которым нужно настроить взаимодействие:
- FreeIPA — используется в ОС Linux с интегрированными сервисами;
- Active Directory — используется в ОС Windows;
- Другой — используется в пользовательских LDAP-совместимых каталогах, например OpenLDAP;
- Описание — описание внешнего каталога.
- Нажмите на кнопку Далее.
- Заполните поля:
Параметры подключения:- URL для подключения * — URL-адрес и порт внешнего каталога. Например:
- ldap://free-ipa.stage.vmw.t1.loc:389;
- ldaps://10.15.340.11:636;
- Имя пользователя * — имя пользователя с доступом на чтение к внешнему каталогу;
- Пароль пользователя * — пароль пользователя с доступом на чтение к внешнему каталогу;
- Тип соединения * — доступ к внешнему каталогу:
- Без шифрования — данные передаются в открытом виде;
- Использовать TLS шифрование — шифрование с момента установки соединения;
- Использовать StartTLS расширение — канал шифруется TLS поверх TCP-соединения;
- Cертификат — файл сертификата в формате PEM или CRT (при типе соединения Использовать TLS шифрование или Использовать StartTLS расширение).
- URL для подключения * — URL-адрес и порт внешнего каталога. Например:
- Нажмите на кнопку Далее.
- Заполните поля: LDAP-сведения для поиска:
Базовое уникальное имя * — базовое уникальное имя (Base DN). Корневая точка поиска указывает, с какого уровня начинать поиск записей. Например:
для LDAP-провайдера Active Directory:
cn=users;
dc=ad;
dc=example;
dc=com;
- для LDAP-провайдера FreeIPA или Другой:
- ou=people;
- dc=freeipa;
- dc=example;
- dc=com;
- LDAP ID атрибут * — уникальный идентификатор записи в каталоге LDAP. Используется для однозначного сопоставления записей:
- для LDAP-провайдера Active Directory — по умолчанию установлено значение objectGUID. При необходимости измените его;
- для LDAP-провайдера FreeIPA или Другой — по умолчанию установлено значение entityUUID. При необходимости измените его;
- LDAP Object Classes * — типы записей (пользователи, группы и т.д.), которые будут синхронизироваться. Например, для синхронизации пользователей можно указать записи: person, organizationalPerson, user;
- LDAP Filter — дополнительный фильтр для уточнения поиска. Позволяет исключить из области поиска (или включить в область поиска) определённые записи. Должен начинаться со знака (и заканчиваться знаком). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать все записи, у которых email начинается на test.
- Нажмите на кнопку Далее.
- При необходимости настройте периодическую синхронизацию данных на консоли администратора с каталогом LDAP:Сведения о синхронизации:
- Периодическая синхронизация — активируйте переключатель, если нужно настроить периодическую синхронизацию внешнего каталога, или деактивируйте переключатель, если периодическая синхронизация не нужна;
- Время — время запуска синхронизации (по Москве). Чтобы добавить ещё одно время запуска синхронизации, нажмите на кнопку и укажите нужное время. Минимальный интервал между запусками — 6 часов;
- Отправлять активацию пользователей — установите флажок, чтобы новым пользователям (созданным при синхронизации внешнего каталога) приходило письмо о создании учётной записи;
- Импорт новых пользователей — установите флажок, чтобы создать учётные записи для пользователей, найденных в каталоге LDAP, но отсутствующих в консоли администратора. Создаются только те учётные записи, домен электронной почты которых принадлежит компании. Учётные записи создаются в статусе Ожидает регистрации;
- Обновление данных пользователей — установите флажок, чтобы обновлять данные пользователей в консоли администратора на основе данных, полученных при синхронизации каталога LDAP;
- Деактивация пользователей — установите флажок, чтобы заблокировать учётные записи пользователей, которые заблокированы в каталоге LDAP или не были найдены в результате синхронизации.
Примечание
При синхронизации каталога LDAP автоматически обновляются атрибуты Имя, Фамилия и Почта. Если нужно обновлять и другие атрибуты, донастройте маппинг атрибутов.
- Нажмите на кнопку Добавить.
По завершении синхронизации в поле Сведения о синхронизации отображается результат и время последней синхронизации. Посмотреть подробные сведения о синхронизации можно по ссылке Подробнее... или в разделе Аудит → Журнал синхронизации каталогов.
Примечание
Синхронизацию можно запустить вручную.
Созданный внешний каталог отображается в консоли администратора:
Чтобы посмотреть подробную информацию о внешнем каталоге, нажмите на строку с нужным внешним каталогом. Откроется страница с информацией о внешнем каталоге:
В созданном каталоге можно изменить сведения о каталоге, параметры подключения, LDAP-сведения для поиска, сведения о синхронизации, запустить синхронизацию, изменить маппинг атрибутов, а также удалить внешний каталог. Подробнее см. раздел Действия с внешним каталогом.