Download PDF
Download page Аутентификация и авторизация пользователей через службу каталогов.
Аутентификация и авторизация пользователей через службу каталогов
Аутентификация и авторизация пользователей через службу каталогов
В качестве средства аутентификации и авторизации пользователей (администраторов Termidesk Connect) может использоваться служба каталогов, существующая и настроенная в инфраструктуре организации.
Особенности работы при подключении к службе каталогов:
- для аутентификации и авторизации пользователей используется PAM-модуль;
- права пользователей к Termidesk Connect назначаются в зависимости от правил доступа группы, в которую входит пользователь (см. подраздел Создание набора правил доступа);
- подключенная служба каталогов не исключает функции локальных администраторов, существующих в Termidesk Connect.
Настройка подключения к службе каталогов выполняется одним из способов:
- из интерфейса командной строки Termidesk Connect;
- из веб-интерфейса Termidesk Connect (см. подраздел Управление аутентификацией).
Для настройки подключения к службе каталогов используются команды:
Описание параметров также приведено в подразделе Объект ldap.
- указание типа подключаемой службы каталогов:
Возможные значения:
AD– служба каталогов Active Directory Domain Services;FreeIPA– служба каталогов FreeIPA;OpenLDAP– служба каталогов OpenLDAP Directory Services.
set ldap type <тип_службы_каталогов>- указание доменного имени сервера службы каталогов или его IP-адреса:
set ldap domian <доменное_имя_сервера_или_IP>Пример:
set ldap domain example.loc- указание времени ожидания (в секундах) ответа от службы каталогов (по умолчанию – 30):
set ldap timeout <значение>- указание типа безопасности для подключения к службе каталогов (по умолчанию –
TEXT):
Возможные значения:
TEXT– незащищенное подключение;SSL– защищенное подключение. Перед обменом данными будет установлена TLS-сессия.
set ldap security <тип_безопасности>- (опционально, если используется защищенное подключение к службе каталогов) указание файла сертификата удостоверяющего центра:
Файл сертификата должен быть предварительно загружен на Termidesk Connect (см. подраздел Файлы для SSL/TLS).
set ldap ca-cert <имя_файла>- указание порта для подключения к службе каталогов (по умолчанию – 389):
set ldap port <значение>- указание корня поиска в службе каталогов (Base DN):
set ldap base-dn <значение>Вводимое значение не должно содержать пробелов:
- в начале и конце строки;
- рядом с разделителями (запятыми);
- в элементах пути (например, «DC=company name,DC=de»).
Пример:
set ldap base-dn DC=example,DC=loc- указание учетной записи (с правами на чтение) в формате DN, используемой для подключения к службе каталогов:
set ldap administrator-bind-dn <значение>Вводимое значение не должно содержать пробелов:
- в начале и конце строки;
- рядом с разделителями (запятыми);
- в элементах пути (например, «DC=company name,DC=de»).
Пример:
set ldap administrator-bind-dn CN=admin,OU=Users,DC=example,DC=loc- указание пароля учетной записи:
set ldap password <пароль>- указание атрибута уникального имени или идентификатора пользователя в службе каталогов (по умолчанию –
userPrincipalName):
Возможные значения:
uid– уникальный идентификатор учетной записи;userPrincipalName– логин пользователя в формате «user@example.loc»;SamAccountName– короткое имя пользователя;cn– отображаемое имя пользователя (иногда – имя для входа).
set ldap user-name-attribute <атрибут_имени_пользователя>- указание атрибута группы (по умолчанию –
memberOf):
Возможные значения:
memberOf– список участников группы, в котором каждый участник указывается в виде полного DN. Универсальный атрибут;uniqueMember– аналог атрибута выше, но используется в некоторых реализациях LDAP, например, OpenLDAP Directory Services.
set ldap group-attribute <атрибут_группы>- применение заданных настроек:
commit- сохранение настроек:
write- просмотр заданных проверок (указывается формат вывода –
XML,JSONиTXT):
show configuration xml ldap- просмотр выполненных команд:
show configuration cli ldap
После настройки подключения должно быть выполнено добавление группы пользователей службы каталогов (см. подраздел Создание групп и пользователей).
Для разделения полномочий в Termidesk Connect также должна быть выполнена настройка правил доступа (см. подраздел Создание набора правил доступа).