Добавление аутентификации LDAP

Добавление аутентификации через MS AD (LDAP)

Для добавления аутентификации LDAP администратору Termidesk следует перейти «Компоненты - Домены аутентификации», а затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «MS Active Directory (LDAP)».

Затем необходимо заполнить данные, перечисленные в столбце «Параметр» следующей таблицы.

Данные для добавления аутентификации через MS AD (LDAP)

Параметр	Описание
«Название»	Текстовое наименование домена аутентификации
«Комментарий»	Информационное сообщение, используемое для описания назначения домена аутентификации
«Приоритет»	Преимущество использования домена аутентификации при проверке субъекта и его полномочий
«Метка»	Информационное поле, используемое для идентификации объекта во внутренней структуре данных Termidesk
«Сервер LDAP»	IP-адрес или доменное имя сервера, являющегося источником сведений о субъектах и их полномочиях
«Порт»	TCP-порт, на котором запущена служба домена аутентификации
«Использовать SSL»	Использовать защищенное соединение при взаимодействии с доменом аутентификации
«Учетная запись»	Учетная запись в формате Distinguished Name (DN) в домене MS AD (LDAP), используемая для подключения к LDAP. Пример: `CN=admin,OU=user,DC=test,DC=desk`
«Пароль учетной записи»	Набор символов, подтверждающий полномочия объекта для подключения к серверу LDAP
«Таймаут»	Время ожидания (в секундах) ответа ресурса, являющегося источником сведений о субъектах и их полномочиях
«Корень поиска»	Корень поиска в домене аутентификации в формате DN. Пример: `DC=test,DC=desk`
«Имя класса пользователя»	Атрибут класса пользователя в домене аутентификации (для корректного заполнения данного поля необходимо указать значение «Person»)
«Атрибут идентификатора пользователя»	Атрибут уникального имени или идентификатора пользователя в домене аутентификации (для корректного заполнения данного поля необходимо указать значение «SamAccountName»)
«Список атрибутов пользователя»	Список атрибутов, содержащий уникальные данные пользователя, разделенные запятыми (для корректного заполнения данного поля необходимо указать значение «name»)
«Имя атрибута группы»	Атрибут принадлежности к группе в домене аутентификации (для корректного заполнения данного поля необходимо указать значение «group»)
«Атрибут имени группы»	Идентификатор группы, к которой относится субъект в домене аутентификации. Если включены параметры «Использовать рекурсивный поиск групп» или «Использовать обратный порядок проверки членства пользователей», то необходимо указать значение «distinguishedname». Если указанные параметры отключены, то можно использовать значение «cn». При использовании значения «distinguishedname» при добавлении группы в домен аутентификации по пути «Компоненты - Домены аутентификации - Наименование домена - Группы» нужно задавать длинные имена групп, например: `CN=Корневая группа,CN=Users,DC=test,DC=desk`. При использовании значения «cn» нужно использовать короткие имена групп. Если параметр «Атрибут имени группы» был изменен, то необходимо заново добавить группы, используя соответствующие имена групп: для «cn» - короткие имена, для «distinguishedname» - длинные имена
«Атрибут членства в группе»	Идентификатор группы для назначения полномочий субъекту (для корректного заполнения данного поля необходимо указать значение «member»)
«Атрибут групп для LDAP-запросов»	Атрибут, определяющий группы пользователя при запросах к службе каталогов. Возможные значения: «objectClass», «objectCategory»
«Использовать рекурсивный поиск групп»	При запросе групп пользователя будут учтены его родительские группы, в которых он состоит неявно. Если дополнительно включен параметр «Использовать обратный порядок проверки членства пользователей», то параметр «Использовать рекурсивный поиск групп» можно не включать
«Использовать обратный порядок проверки членства пользователей»	Проверка соответствия членства пользователя в группах домена аутентификации членству в группах Termidesk. Для работы функционала необходимо, чтобы был задан параметр «Атрибут имени группы». При большом количестве групп непосредственно в домене аутентификации MS AD (LDAP) нужно включить этот параметр. В этом случае сначала будет проверяться вхождение пользователя в группы в Termidesk (в том числе рекурсивно), затем будет происходить проверка найденных групп на сервере MS AD (LDAP). При выключении этого параметра применяется настройка выбора Атрибут групп для LDAP-запросов: «objectClass» или «objectCategory». При включении этого параметра всегда применяется настройка выбора Атрибут групп для LDAP-запросов: «objectClass».