Download PDF
Download page Добавление аутентификации LDAP.
Добавление аутентификации LDAP
Добавление аутентификации через MS AD (LDAP)
Для добавления аутентификации MS AD (LDAP) администратору Termidesk следует перейти «Компоненты - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «MS Active Directory (LDAP)».
Затем необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.
Параметр | Описание |
---|---|
«Название» | Текстовое наименование домена аутентификации |
«Комментарий» | Информационное сообщение, используемое для описания назначения домена аутентификации |
«Приоритет» | Преимущество использования домена аутентификации при проверке субъекта и его полномочий |
«Метка» | Информационное поле, используемое для идентификации объекта во внутренней структуре данных. Параметр используется для поиска аналогичного домена «Универсального диспетчера», поэтому должен быть одинаковым как на портале «Агрегатор» (при его использовании), так и на «Универсальном диспетчере». Поле может состоять из букв латинского алфавита, цифр, знаков «-» (дефис) и «_» (подчеркивание) |
«Сервер LDAP» | IP-адрес или доменное имя сервера службы каталогов, являющегося источником сведений о субъектах и их полномочиях |
«Порт» | TCP-порт, на котором запущена служба каталогов. Возможные стандартные значения:
Для ускорения поиска пользователей в службе каталогов рекомендуется указывать альтернативный порт |
«Использовать SSL» | Использовать защищенное соединение при взаимодействии со службой каталогов |
«Учетная запись» | Учетная запись в формате Distinguished Name (DN) в домене MS AD (LDAP), используемая для подключения к службе каталогов. Пример: «CN=admin,OU=user,DC=test,DC=desk» |
«Пароль учетной записи» | Набор символов, подтверждающий полномочия объекта для подключения к службе каталогов |
«Таймаут» | Время ожидания (в секундах) ответа от службы каталогов. Значение по умолчанию: «10» |
«Base DN» | Корень поиска в службе каталогов в формате DN. Параметру следует задавать значение, соответствующее записи верхнего уровня в иерархии службы каталогов (без указания OU). Вводимое значение не должно содержать пробелов:
Пример: «DC=test,DC=desk» |
«Имя класса пользователя» | Атрибут класса пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «person» |
«Атрибут идентификатора пользователя» | Атрибут уникального имени или идентификатора пользователя в службе каталогов. Для корректного заполнения данного поля необходимо указать:
Атрибут идентификатора пользователя задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя.
|
«Список атрибутов пользователя» | Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми. Для корректного заполнения данного поля необходимо указать значение «name» |
«Имя атрибута группы» | Атрибут принадлежности к группе в службе каталогов. Для корректного заполнения данного поля необходимо указать значение «group» |
«Атрибут имени группы» | Атрибут идентификатора группы, к которой относится субъект в службе каталогов. Для корректного заполнения данного поля необходимо указать:
Атрибут имени группы задается с учетом того, какой шаблон использовался при выдаче сертификата пользователя. Например, значение «name» для механизма аутентификации Kerberos PKINIT указывается в том случае, если сертификат для подключения выдан на имя пользователя.
Если используется значение «distinguishedname», то при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно указывать длинные имена групп, например: «CN=RootGroup,CN=Users,DC=test,DC=desk». Если используется значение «cn», то нужно указывать короткие имена групп. Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена |
«Атрибут членства в группе» | Идентификатор группы для назначения полномочий субъекту. Для корректного заполнения данного поля необходимо указать значение «member» |
«Атрибут групп для LDAP-запросов» | Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory» |
«Использовать рекурсивный поиск групп» | При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно. Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать. Возможные значения:
|
«Использовать обратный порядок проверки членства пользователей» | Проверка соответствия членства пользователя в группах службы каталогов членству в группах домена аутентификации. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы». Этот параметр нужно включить при большом количестве групп непосредственно на службе каталогов MS AD. В этом случае сначала будет проверяться вхождение пользователя в группы домена аутентификации (в том числе рекурсивно), затем будет происходить проверка найденных групп в службе каталогов MS AD. При выключении этого параметра применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass» или «objectCategory». При включении этого параметра всегда применяется настройка выбора «Атрибут групп для LDAP-запросов»: «objectClass». Возможные значения:
|
«Использовать PKINIT» | Использовать механизм аутентификации Kerberos PKINIT при аутентификации пользователя. PKINIT - механизм, позволяющий использовать сертификаты X.509 в качестве метода аутентификации. Предполагается, что механизм аутентификации Kerberos PKINIT настроен в инфраструктуре организации и пользователю выданы соответствующие сертификаты и ключи для подключения (персональный сертификат, закрытый ключ к нему и корневой сертификат ЦС, на котором выпущен персональный сертификат). При активации механизма аутентификации Kerberos PKINIT нужно указать актуальный порт в параметре «Порт PKINIT», а также указать нужные значения параметров «Атрибут имени группы» и «Атрибут идентификатора пользователя». Возможные значения:
|
«Порт PKINIT» | TCP/UDP порт, на котором запущена служба Kerberos. Значение по умолчанию: «88» |