Добавление внешнего каталога в консоль администратора

Если у вас есть каталог пользователей (например, в Active Directory, OpenLDAP), то можно настроить синхронизацию пользователей из этого каталога с пользователями консоли администратора по протоколу LDAP.

Для этого пользователю с ролью Суперадминистратор нужно добавить внешний каталог на консоль администратора:

  1. В главном меню консоли перейдите в раздел Внешние каталоги.
  2. Нажмите на кнопку Добавить или на кнопку  Добавить, если в организации уже есть созданный внешний каталог.

    Примечание

    В одной организации можно добавить максимум 3 внешних каталога.

  3. Заполните поля: Сведения о каталоге:
    • Название * — название внешнего каталога;
    • LDAP-провайдер — провайдер каталога, с которым нужно настроить взаимодействие:
      • FreeIPA — используется в ОС Linux с интегрированными сервисами;
      • Active Directory — используется в ОС Windows;
      • Другой — используется в пользовательских LDAP-совместимых каталогах, например OpenLDAP;
    • Описание — описание внешнего каталога.
  4. Нажмите на кнопку Далее.
  5. Заполните поля: Параметры подключения:

    • URL для подключения * URL-адрес и порт внешнего каталога. Например:
      • ldap://free-ipa.stage.vmw.t1.loc:389;
      • ldaps://10.15.340.11:636;
    • Имя пользователя * — имя пользователя с доступом на чтение к внешнему каталогу;
    • Пароль пользователя * — пароль пользователя с доступом на чтение к внешнему каталогу;
    • Тип соединения * — доступ к внешнему каталогу:
      • Без шифрования — данные передаются в открытом виде;
      • Использовать TLS шифрование — шифрование с момента установки соединения;
      • Использовать StartTLS расширение — канал шифруется TLS поверх TCP-соединения;
    • Cертификат — файл сертификата в формате PEM или CRT (при типе соединения Использовать TLS шифрование или Использовать StartTLS расширение).

  6. Нажмите на кнопку Далее.
  7. Заполните поля: LDAP-сведения для поиска:
    • Базовое уникальное имя * — базовое уникальное имя (Base DN). Корневая точка поиска указывает, с какого уровня начинать поиск записей. Например:

    • LDAP ID атрибут * — уникальный идентификатор записи в каталоге LDAP. Используется для однозначного сопоставления записей:
      • для LDAP-провайдера Active Directoryпо умолчанию установлено значение objectGUID. При необходимости измените его;
      • для LDAP-провайдера FreeIPA или Другой — по умолчанию установлено значение entityUUID. При необходимости измените его;
    • LDAP Object Classes * — типы записей (пользователи, группы и т.д.), которые будут синхронизироваться. Например, для синхронизации пользователей можно указать записи: person, organizationalPerson, user;
    • LDAP Filter — дополнительный фильтр для уточнения поиска. Позволяет исключить из области поиска (или включить в область поиска) определённые записи. Должен начинаться со знака (и заканчиваться знаком). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать все записи, у которых email начинается на test.
  8. Нажмите на кнопку Далее.
  9. При необходимости настройте периодическую синхронизацию данных на консоли администратора с каталогом LDAP: Сведения о синхронизации:
    • Периодическая синхронизация — активируйте переключатель, если нужно настроить периодическую синхронизацию внешнего каталога, или деактивируйте переключатель, если периодическая синхронизация не нужна; 
    • Время — время запуска синхронизации (по Москве). Чтобы добавить ещё одно время запуска синхронизации, нажмите на кнопку  и укажите нужное время. Минимальный интервал между запусками — 6 часов;
    • Отправлять активацию пользователей — установите флажок, чтобы новым пользователям (созданным при синхронизации внешнего каталога) приходило письмо о создании учётной записи;
    • Импорт новых пользователей — установите флажок, чтобы создать учётные записи для пользователей, найденных в каталоге LDAP, но отсутствующих в консоли администратора. Создаются только те учётные записи, домен электронной почты которых принадлежит компании. Учётные записи создаются в статусе Ожидает регистрации;
    • Обновление данных пользователей — установите флажок, чтобы обновлять данные пользователей в консоли администратора на основе данных, полученных при синхронизации каталога LDAP;
    • Деактивация пользователей — установите флажок, чтобы заблокировать учётные записи пользователей, которые заблокированы в каталоге LDAP или не были найдены в результате синхронизации.

    Примечание

    При синхронизации каталога LDAP автоматически обновляются атрибуты Имя, Фамилия и Почта. Если нужно обновлять и другие атрибуты, донастройте маппинг атрибутов.

     
  10. Нажмите на кнопку Добавить.

По завершении синхронизации в поле Сведения о синхронизации отображается результат и время последней синхронизации. Посмотреть подробные сведения о синхронизации можно по ссылке Подробнее... или в разделе Аудит  Журнал синхронизации каталогов.

Примечание

Синхронизацию можно запустить вручную.

Созданный внешний каталог отображается в консоли администратора: 

Чтобы посмотреть подробную информацию о внешнем каталоге, нажмите на строку с нужным внешним каталогом. Откроется страница с информацией о внешнем каталоге: 

В созданном каталоге можно изменить сведения о каталоге, параметры подключения, LDAP-сведения для поиска, сведения о синхронизации, запустить синхронизацию, изменить маппинг атрибутов, а также удалить внешний каталог. Подробнее см. раздел Действия с внешним каталогом.

Мы ответили на ваш вопрос?