Добавление внешнего каталога в консоль администратора

Если у вас есть каталог пользователей (например, в Active Directory, OpenLDAP), то можно настроить синхронизацию пользователей из этого каталога с пользователями консоли администратора по протоколу LDAP.

Для этого пользователю с ролью Суперадминистратор нужно добавить внешний каталог на консоль администратора:

1. В главном меню консоли перейдите в раздел Внешние каталоги.
2. Нажмите на кнопку Добавить или на кнопку  Добавить, если в организации уже есть созданный внешний каталог.

   Примечание

   В одной организации можно добавить максимум 3 внешних каталога.

3. Заполните поля: Сведения о каталоге:
   
   • Название * — название внешнего каталога;
   • LDAP-провайдер — провайдер каталога, с которым нужно настроить взаимодействие:
     • FreeIPA — используется в ОС Linux с интегрированными сервисами;
     • Active Directory — используется в ОС Windows;
     • Другой — используется в пользовательских LDAP-совместимых каталогах, например OpenLDAP;
   • Описание — описание внешнего каталога.
4. Нажмите на кнопку Далее.
5. Заполните поля: Параметры подключения:
   
   • URL для подключения * — URL-адрес и порт внешнего каталога. Например:
     • ldap://free-ipa.stage.vmw.t1.loc:389;
     • ldaps://10.15.340.11:636;
   • Имя пользователя * — имя пользователя с доступом на чтение к внешнему каталогу;
   • Пароль пользователя * — пароль пользователя с доступом на чтение к внешнему каталогу;
   • Тип соединения * — доступ к внешнему каталогу:
     • Без шифрования — данные передаются в открытом виде;
     • Использовать TLS шифрование — шифрование с момента установки соединения;
     • Использовать StartTLS расширение — канал шифруется TLS поверх TCP-соединения;
   • Cертификат — файл сертификата в формате PEM или CRT (при типе соединения Использовать TLS шифрование или Использовать StartTLS расширение).

6. Нажмите на кнопку Далее.
7. Заполните поля: LDAP-сведения для поиска:
   

   • Базовое уникальное имя * — базовое уникальное имя (Base DN). Корневая точка поиска указывает, с какого уровня начинать поиск записей. Например:

     • для LDAP-провайдера Active Directory:

       • cn=users;

       • dc=ad;

       • dc=example;

       • dc=com;

     • для LDAP-провайдера FreeIPA или Другой:
       • ou=people;
       • dc=freeipa;
       • dc=example;
       • dc=com;
   • LDAP ID атрибут * — уникальный идентификатор записи в каталоге LDAP. Используется для однозначного сопоставления записей:
     • для LDAP-провайдера Active Directory — по умолчанию установлено значение objectGUID. При необходимости измените его;
     • для LDAP-провайдера FreeIPA или Другой — по умолчанию установлено значение entityUUID. При необходимости измените его;
   • LDAP Object Classes * — типы записей (пользователи, группы и т.д.), которые будут синхронизироваться. Например, для синхронизации пользователей можно указать записи: person, organizationalPerson, user;
   • LDAP Filter — дополнительный фильтр для уточнения поиска. Позволяет исключить из области поиска (или включить в область поиска) определённые записи. Должен начинаться со знака (и заканчиваться знаком). Например, фильтр (&(objectClass=person)(objectClass=organizationalPerson)(mail=test*)) позволяет синхронизировать все записи, у которых email начинается на test.
8. Нажмите на кнопку Далее.
9. При необходимости настройте периодическую синхронизацию данных на консоли администратора с каталогом LDAP: Сведения о синхронизации:
   
   • Периодическая синхронизация — активируйте переключатель, если нужно настроить периодическую синхронизацию внешнего каталога, или деактивируйте переключатель, если периодическая синхронизация не нужна; 
   • Время — время запуска синхронизации (по Москве). Чтобы добавить ещё одно время запуска синхронизации, нажмите на кнопку  и укажите нужное время. Минимальный интервал между запусками — 6 часов;
   • Отправлять активацию пользователей — установите флажок, чтобы новым пользователям (созданным при синхронизации внешнего каталога) приходило письмо о создании учётной записи;
   • Импорт новых пользователей — установите флажок, чтобы создать учётные записи для пользователей, найденных в каталоге LDAP, но отсутствующих в консоли администратора. Создаются только те учётные записи, домен электронной почты которых принадлежит компании. Учётные записи создаются в статусе Ожидает регистрации;
   • Обновление данных пользователей — установите флажок, чтобы обновлять данные пользователей в консоли администратора на основе данных, полученных при синхронизации каталога LDAP;
   • Деактивация пользователей — установите флажок, чтобы заблокировать учётные записи пользователей, которые заблокированы в каталоге LDAP или не были найдены в результате синхронизации.
   
   

   Примечание

   При синхронизации каталога LDAP автоматически обновляются атрибуты Имя, Фамилия и Почта. Если нужно обновлять и другие атрибуты, донастройте маппинг атрибутов.

    
   
10. Нажмите на кнопку Добавить.

По завершении синхронизации в поле Сведения о синхронизации отображается результат и время последней синхронизации. Посмотреть подробные сведения о синхронизации можно по ссылке Подробнее... или в разделе Аудит → Журнал синхронизации каталогов.

Созданный внешний каталог отображается в консоли администратора: 

Чтобы посмотреть подробную информацию о внешнем каталоге, нажмите на строку с нужным внешним каталогом. Откроется страница с информацией о внешнем каталоге: 

В созданном каталоге можно изменить сведения о каталоге, параметры подключения, LDAP-сведения для поиска, сведения о синхронизации, запустить синхронизацию, изменить маппинг атрибутов, а также удалить внешний каталог. Подробнее см. раздел Действия с внешним каталогом.